Wachtwoord zip-bestand verwijderen – achterhaal het met deze tool

Noud van Kruysbergen
0

Hoe kun je een wachtwoord van een zip-bestand verwijderen? We leggen uit hoe je met een tool (korte) wachtwoorden terugvindt, zodat je de zip kunt openen. Zip-bestanden met wachtwoordbeveiliging worden gebruikt om bestanden te versleutelen en te beschermen. Je kunt ze achterhalen met de tool John the Ripper als je het wachtwoord vergeten bent of niet (meer) hebt.

We leggen uit hoe je met John The Ripper zip-wachtwoorden terugvindt of kraakt, want er zijn wel wat stappen voor nodig.


Wachtwoord zip-bestand verwijderen


De legendarische wachtwoord kraker John the Ripper kan te hulp schieten als redder in nood en het wachtwoord van een zip-bestand raden. De kans op succes hangt af van de lengte van het wachtwoord.

Binnen paar seconden het wachtwoord van een zip-bestand terugvinden

Als het wachtwoord heel kort is, heeft John het met wat geluk binnen een paar seconden gevonden – als het heel lang is, kan het miljoenen ­jaren ­duren. Als je je echter nog een deel van het wachtwoord weet of kunt raden, kun je de kraaktijd aanzienlijk verkorten.


Ontvang meer handige tools, de nieuwste informatie en tips!
Schrijf je in voor de nieuwsbrief:


Wachtwoord van zip verwijderen onder Windows, Linux en mac­OS

John (zie John-Wiki) is beschikbaar voor Windows, Linux en mac­OS – en zit standaard in Kali Linux. Het leest niet het versleutelde zip-bestand, maar heeft een daarvan afgeleid bestand nodig met de zogeheten hashwaarde van het wachtwoord. Je kunt dat makkelijk zelf maken met een van de tools die bij John The Ripper zitten.

Er zitten tools bij voor verschillende bestandsformaten, waaronder naast zip ook Android Backup, Bitwarden, KeePass, Office en PDF. Sommige van die tools zijn Python-scripts en vereisen de bijbehorende interpreter. Alle tools, ook die voor zip, staan in de map run, bij Kali kun je kijken in de directory /usr/share/john/.

Schema voor wachtwoord zip-bestand verwijderen

Hieronder zie je een schema van de stappen om een wachtwoord van een zip-bestand te verwijderen, de stappen beschrijven we hierna.



Stappen voor wachtwoord van een zip-bestand achterhalen

Tot zover de theorie, nu komt de praktijk. Om bijvoorbeeld een versleuteld zip-archief met John te kraken, haal je daar eerst de hashwaarde van het wachtwoord uit met behulp van de tool zip2john. Met de volgende opdracht gaat die tool aan de slag met het bestand versleuteld.zip en maakt een hulpbestand genaamd kraakmij.hash:

zip2john versleuteld.zip > kraakmij.hash

Dat werkt even makkelijk met andere formaten: voor Office-­documenten vervang je zip2john door office2john, voor PDF-documenten door pdf2john enzovoort.

Daarna laat je John los op het hashbestand, in het eenvoudigste geval met

john kraakmij.hash

Vervolgens probeert hij eerst de wachtwoorden uit de bijgeleverde lijst password.lst, die zo’n tienduizend van de meest gebruikte wachtwoorden uit de Engelstalige wereld bevat.

Veel voorkomende variaties wachtwoord uitproberen

John probeert veel voorkomende variaties uit, dus een lijst-item ‘test’ levert ook het wachtwoord ‘Test!’ op. Het doorlopen van die lijst duurt maar een paar seconden, en met een beetje geluk zal John na korte tijd een hit melden en het gevonden wachtwoord op de opdrachtregel tonen.

Als de wachtwoordkraker geen wachtwoord vindt, probeert hij systematisch ASCII-tekencombinaties, wat veel meer tijd kost – en redelijk hopeloos wordt bij lange wachtwoorden. In dat geval moet je de zoekactie zo veel mogelijk beperken.

Je kunt bijvoorbeeld een minimum- en maximumlengte opgeven, zoals 5 en 6 tekens, door

-min-length=5 -max-length=6

aan het commando toe te voegen.

En je kunt de zoekradius beperken tot cijfers, bijvoorbeeld om een wachtwoord te vinden dat bestaat uit een geboortedatum met:

-incremental=digits

Deel van wachtwoord is bekend

Als je een deel van het wachtwoord weet, moet je John laten zoeken naar een wachtwoordmasker. De structuur van dergelijke maskers wordt in detail uitgelegd in de documentatie (zie de link op de laatste pagina). In het volgende voorbeeld is het bekend dat het wachtwoord begint met ‘wachtwoord’ en wordt gevolgd door drie onbekende tekens:

john kraakmij.hash -mask=wachtwoord?a?a?a

Probeer maar eens uit hoe lang jouw wachtwoorden bestand zijn tegen een aanval! Bedenk echter dat een echte aanvaller waarschijnlijk meer rekenkracht tot zijn beschikking heeft, bijvoorbeeld in de vorm van een cluster van grafische kaarten in de cloud.

Advies: zorg altijd voor een uniek wachtwoord

John kan een andere wachtwoordenlijst gebruiken die ook jouw wachtwoord bevat. Bijvoorbeeld met gelekte accountgegevens van een website. Daarom geldt de ­regel: kies altijd individuele unieke wachtwoorden die zo lang mogelijk zijn – bij voorkeur willekeurig gegenereerd of op zijn minst met opzettelijke typfouten.



Gebruik hack-tools zoals John The Ripper voor problemen oplossen.

Dat klinkt in eerste instantie absurd, maar kan je leven met technologie veel makkelijker maken. Want met de tools van hackers krijg je veel niet alleen sneller voor elkaar, je kunt ze ook gebruiken om echte alledaagse problemen op te lossen en jezelf uit de nesten te ­helpen.

Niet alle hacking-tools zijn automatisch slecht, vaak zijn het onschadelijke maar uiterst nuttige programma’s die specifieke taken bijzonder goed en doeltreffend oplossen.



Hackingtools – wat kun je zelf doen

We beschrijven in meerdere artikelen het gebruik van hackingtools en hoe je ze kunt inzetten. De in deze serie genoemde hacking-tools bestrijken een breed gebied. Sommige technieken zijn beangstigend eenvoudig, andere vereisen meer training en ervaring. Maar het is de moeite waard je daar in te verdiepen: je leert te denken als een aanvaller en je eigen beveiligingsproblemen en eventuele lekken op te sporen. Dat is nuttig – ongeacht of je alleen een privé WordPress-site beheert of verantwoordelijk bent voor de veiligheid van je klanten.

 

Kijk voor meer achtergrond informatie in c't magazine 8-9/2022

Meer over

hackSoftware

Deel dit artikel

Lees ook

Vergeten inlog wachtwoord terugvinden met NirSoft

Een vergeten inlog wachtwoord terugvinden - zoals voor DigiD of Thuisbezorgd - kun je met dit gereedschap makkelijk zelf doen.

Hackers voor zijn met commandline-tool Amass – review

Met behulp van de commandline-tool Amass kun je een domain vanuit meerdere perspectieven analyseren, en kun je hackers voor zijn.

0 Praat mee
avatar
  Abonneer  
Laat het mij weten wanneer er