?

Log in

No account? Create an account

Предыдущий пост | Следующий пост

Хотя и в современном мире хакеры научились взламывать даже самые сложные пароли, но чаще всего злоумышленникам даже стараться не нужно: пароль подбирается по данным о вас, ваших социальных сетей и родственников. П данным технического университета Virginia Tech подавляющее большинство людей выбирает очень предсказуемые пароли.

Какие же сейчас пароли считаются самыми популярными и самыми предсказуемыми?

Постепенно уходят в прошлое самые банальные сочетания, вроде qwerty и 12345, хотя последний еще в прошлом году уверенно держал пальму первенства среди самых распространенных паролей. Зато пользователи все еще с удовольствием используют удобно расположенные комбинации клавиш, ошибочно полагая, что сочетая их с цифрами они усиливают пароль. Специалисты из Dashlane назвали самые слабые пароли такого типа (не стоит использовать даже их модифицированные вариации):

1q2w3e4r
1qaz2wsx
1qazxsw2
zaq12wsx
!qaz2wsx
1qaz@wsx

Не менее опрометчиво использовать марки автомобилей, футбольные клубы и эмоции — все это эксперты называют в числе самых распространенных паролей.

Как же действуют специалисты по взлому, и почему пользовательские пароли так легко расшифровать?

Прежде всего, взламываются «простые» пароли, на что уходит меньше всего времени, а затем, как в любой компьютерной игре, хакер переходит на более высокие уровни, требующие значительно большего времени и особых навыков.

Для начала, запускается подбор по принципу «грубой силы», позволяющий расшифровать более половины паролей длиной от одного до шести символов включительно, в число которых входят по 26 латинских букв нижнего и верхнего регистров, 10 цифр и 33 прочих символов, в сумме – 95. В результате мы имеем весьма скромное число комбинаций, которое среднестатистический десктоп способен рассчитать за считанные минуты.

Удлинение пароля всего на один-два символа радикально увеличивает число вариантов, и полный перебор всех комбинаций будет занимать уже несколько дней. Поэтому специалисты обычно выбирают, к примеру, пароли, состоящие только из букв нижнего регистра, длиной до 8 символов, а также пароли из чисел длиной до 12 символов. Метод «грубой силы» с такими параметрами позволяет расшифровать значительный процент длинных паролей.

Использование метода подбора для более сложных паролей нерационально, поскольку оно может затянуться на годы, и здесь взломщик уже переходит к использованию специальным образом составленных словарных списков, которые подготовлены на основе реальных пользовательских паролей, «засветившихся» при различных утечках. К примеру, самую большую базу англоязычных паролей за последние годы «предоставил» в распоряжение хакеров сайт RockYou в декабре 2009 года. В результате банальной SQL-инъекции хакерам удалось завладеть базой данных более 32 миллионов пользователей, включая логины, пароли и прочую информацию в простой текстовой форме. База RockYou немедленно была включена во все хакерские «словари», которые с тех пор неоднократно пополнялись в результате всё новых утечек, в том числе после взлома социальной сети LinkedIn в 2012 году, когда «утекло» ещё 6,5 миллиона парольных кэшей.

Базы, подобные RockYou или LinkedIn, представляют особую ценность, поскольку содержат реальные пользовательские пароли, а не просто произвольные комбинации. Для расчёта вариантов существуют специальные правила замены и подбора, что даёт ещё больше потенциальных паролей. А если проанализировать тематику сайта, интересы и профессии его пользователей, то можно добавить ещё более тонкие алгоритмы расчёта со специфическими шаблонами и масками.

Любопытно, что пользователи крупных общедоступных сайтов, прежде всего, всевозможных социальных сетей, редко утруждают себя придумыванием сложных паролей, наивно полагая, что размещаемая там информация не представляет особого интереса для злоумышленников. Более того, из 32 миллионов паролей RockYou 290 тысяч представляли собой до боли знакомую комбинацию «123456», а ещё несколько десятков тысяч – похожие сочетания с разным количеством цифр. Наконец, многие пользовали используют одинаковые пароли на разных сервисах, а при взломе паролей на одном сайте, далеко не каждый станет менять его и на всех остальных сайтах. Поэтому словарный подбор остаётся одной из самых мощных и эффективных технологий взлома, позволяющий, по разным оценкам, расшифровать до 60-70% пользовательских паролей на любом общедоступном сайте.

Для взлома оставшегося массива паролей используются гибридные атаки, сочетающие элементы «грубой силы» со словарным подбором. Например, при задании паролей некоторые предпочитают добавлять к одному из своих старых паролей длиной 7-8 символов по одной-две цифре в начало или в конец. Понятно, что с точки зрения безопасности, такие пароли уже не выдерживают никакой критики. Подобные «привычные» способы «улучшения» старых паролей отлично известны специалистам, поэтому такие шаблоны нисколько не повышают их устойчивость.

Ещё один тип гибридных атак сочетает «грубую силу» со статистическим методом на основе цепей Маркова, что позволяет использовать уже полученные данные о характерных особенностях расшифрованных паролей для конкретного сайта, чтобы предсказать возможные пароли других пользователей.

Гибридные атаки в разных вариантах, а также «индивидуальные» настройки масок и шаблонов могут занимать существенное время, но в результате они способны раскрыть до всех 100% паролей для отдельно взятого сайта (среднестатистиски – от 60 до 90%). А если учесть, что более двух третей пользовательских паролей взламывается простыми средствами за считанные часы, предоставляя полезную информацию для анализа, то талантливый профессионал может сократить общее время взлома до разумного минимума.

Почему же хакеры так просто и быстро взламывают пользовательские пароли? Прежде всего, из-за того, что их придумывают люди. Обычные шаблоны и привычки хорошо известны профессионалам, а современная техника, в частности, обычные «бытовые» графические ускорители позволяют быстро просчитать все возможные комбинации: к примеру, Radeon HD7970 способен перебрать более 8 миллиардов вариантов в секунду.

Именно поэтому для промышленного использования рекомендуются специализированные генераторы паролей, использующие алгоритмы, не позволяющие выявить стабильные шаблоны и предотвращающие возможность взлома «грубой силой» за разумный отрезок времени, в течение которого расшифровываемые пароли будут уже заменены другими.

Наконец, ещё одна причина заключается в том, что далеко не все общедоступные сайты реально озабочены безопасностью пользовательских паролей, и используют для создания хэшей достаточно простые алгоритмы, которые обеспечивали бы взамен низкую нагрузку на серверы. Даже некоторые крупные сайты до сих пор применяют печально зарекомендовавший себя алгоритм SHA1 – его устойчивость не укрепило даже добавление «соли», то есть уникального набора битов к каждому паролю перед зашифровкой.

После всех этих подробностей специализированный сайт корпорации Intel, «проверяющий» стойкость паролей, вызывает приступы хохота, когда выдаёт 6 лет на взлом пароля BandGeek2014, подбираемого профессионалом, в худшем случае, за час.

Взлом MD5 в режиме турбо

Rainbow tables: «Радужные» таблицы — это особый тип словаря, который содержит цепочки паролей и позволяет подобрать пароль в течение нескольких секунд или минут с вероятностью 85–99%.

Взлом хешей путем полного перебора даже на самом лучшем железе занимает довольно много времени, особенно если пароль больше восьми символов. Самый простой способ увеличить скорость подбора пароля — это создать базу данных всех хешей для определенного набора символов. В 80-х годах прошлого столетия хакеры полагали, что когда у них появится более мощное железо, 640 Кб памяти и жесткий диск размером в 10 Мб, то такая база станет реальностью и подбор любого пароля превратится в минутное дело. Однако железо развивалось, а мечта так и оставалась мечтой. Ситуация изменилась лишь в августе 2003 года, после того, как Филипп Оэшлин, доктор философии в области компьютерных сетей из Швейцарского технологического института в Лозанне, опубликовал свою работу о проблеме выбора оптимального соотношения место-время. В ней описывался метод взлома хеш-функций с помощью «радужных» таблиц.

Суть нового метода заключается в следующем. Сначала необходимо выбрать произвольный пароль, который затем хешируется и подвергается воздействию функции редукции, преобразующей хеш в какой-либо возможный пароль (к примеру, это могут быть первые 64 бита исходного хеша). Далее строится цепочка возможных паролей, из которой выбираются первый и последний элементы. Они записываются в таблицу. Чтобы восстановить пароль, применяем функцию редукции к исходному хешу и ищем полученный возможный пароль в таблице. Если такого пароля в таблице нет, хешируем его и вычисляем следующий возможный пароль. Операция повторяется, пока в «радужной» таблице не будет найден пароль. Этот пароль представляет собой конец одной из цепочек. Чтобы найти исходный пароль, необходимо прогнать всю цепочку заново. Такая операция не занимает много времени, в зависимости от алгоритма построения цепочки это обычно несколько секунд или минут. «Радужные» таблицы позволяют существенно сократить объем используемой памяти по сравнению с обычным поиском. Единственный недостаток описанного метода состоит в том, что на построение таблиц требуется довольно много времени.

Как же себя обезопасить? Лучше всего будет просто воспользоваться генератором случайных чисел, а затем потратить немного времени и твердо запомнить сложный пароль, который не поддастся взлому.

[источники]
http://dnpmag.com/2018/06/25/kakie-paroli-vzlamyvayut-chashhe-vsego/

Все методы взлома MD5


http://www.lookatme.ru/mag/how-to/security/206725-hacking-accounts

Это копия статьи, находящейся по адресу http://masterokblog.ru/?p=778.

Метки:

Subscribe to  masterok
promo masterok january 2, 12:00 46
Buy for 300 tokens
Вот так выглядит ушедший от нас 2017 год. А вот кстати, начало 2018 года показывает еще больший трафик, чем декабрь 2017: И вот один из дней - рекордсменов за всю историю журнала тоже уже в 2018 году: Красная цифра - это общее количество уникальных посетителей попавших в блог. В…

Comments

djonsmitt
Jun. 26th, 2018 01:21 pm (UTC)
"знакомую комбинацию «123456»
у меня тоже такой пароль был где то)))
masterok
Jun. 26th, 2018 01:28 pm (UTC)
Я обычно 111 делал
djonsmitt
Jun. 26th, 2018 01:37 pm (UTC)
тоже вариант но взламывается чуть быстрее))
mechnik
Jun. 26th, 2018 03:05 pm (UTC)
Я такое делал только для регистраций, которые мне были нужны на пару раз, откуда хрен сделаешь рассылку и где нет никаких моих данных, кроме мусорного мейла.
chertex
Jun. 26th, 2018 01:33 pm (UTC)
Взлом пароля, это практически покушение на "частную собственность", и караться должен так же строго.
За одну попытку взлома пароля нужно давать реальные сроки.
Причём, делать это на межгосударственном уровне, используя "Интерпол" и спецслужбы.
serega133
Jun. 26th, 2018 01:34 pm (UTC)
Я не запоминаю пароли, их невозможно запомнить при постоянной смене регистра и языка. Я держу их на флешке.
tutmimoidu
Jun. 26th, 2018 02:20 pm (UTC)
Флешки дохнут. Причем внезапно. Лучше простого бумажного блокнотика никто ничего не придумал.
serega133
Jun. 26th, 2018 02:22 pm (UTC)
В блокнотике само собой, но записывать трудно - как отличить А и А.
tutmimoidu
Jun. 26th, 2018 08:43 pm (UTC)
На флешке тоже А. и А. не особо отличишь сходу. Но уж такие мелкие детали типа регистра символов и в голове удержать можно. Можно добавить "соль", её тоже несложно упомнить. Не, если башка большая, можно помнить пароли с логинами на сотню сайтов. За себя говорю честно: упомню 10-15 сложных логинов с паролями, не более, и то если буду ими регулярно пользоваться. По факту использую (часто) около 5 или 7. Для остального - простой бумажный блокнотик (который я, естественно, "не свечу" нигде
serega133
Jun. 26th, 2018 08:45 pm (UTC)
С флешки можно скопировать.
alfasting
Jun. 26th, 2018 01:51 pm (UTC)
16 буквенный легко запомнить. Более, в случае необходимости, можно и увеличить.
И глупости же по подбору. Давным давно уже нигде нет возможности прямого перебора с прямым вводом. Обычно 3 попытки со вводом капчи+++ что-то еще, затем вполне таймаут минут на 20, а то и более и время перебора стремится к нескольким миллиардам лет.
)
_sudar
Jun. 26th, 2018 02:24 pm (UTC)
...и проверочный код смс на телефон

После чего остается только ректальный криптоанализ.

В этой страшилке все намешано в кучу. Одно дело ломать программу или документ на своем компе, другое дело ломать пользователя или сайт удаленно. Даже если задержка всего 1мс, даже если нет ограничения на количество запросов, все равно 6-знаковый пароль из 95 возможных символов в каждой позиции будет ломаться 23,5 года брутфорсом.

А по факту пароли в открытом виде в БД никто не хранит, 1234 (пароль) + соль (которая может быть сколь угодно сложной) - и привет.

Например Вася Пупкин с паролем 1234 после соли превращается в s#dhf2!3rn2!2n03, и этот вторичный пароль уже хешируется, а в базу записывается нечто вида c4ca4238a0b923820dcc509a6f75849b. И успехов проделать обратный путь.

Edited at 2018-06-26 02:38 pm (UTC)
_sudar
Jun. 26th, 2018 02:05 pm (UTC)
"в число которых входят по 26 латинских букв нижнего и верхнего регистров, 10 цифр и 33 прочих символов, в сумме – 95. В результате мы имеем весьма скромное число комбинаций, которое среднестатистический десктоп способен рассчитать за считанные минуты."

Чо за бред??? Количество комбинаций будет всего: 95+9025+857375+81450625+7737809375+735091890625=742.912.017.120 - "всего" 743 миллиарда.

Чтоб было понятно, если запрос-ответ занимает секунду, то понадобится 23557 лет для взлома. Удаленно такой взлом не работает от слова совсем. А то, что нужно ломать брутфорсом на собственном мейнфрейме шифруется не 6 позициями в пароле.

Edited at 2018-06-26 02:09 pm (UTC)
tutmimoidu
Jun. 26th, 2018 02:15 pm (UTC)
Говорят не надо задавать пароли по имени домашних животных.
Жаль, я так привык к имени своего кота _g6&-sjA*ed
Sebghatullah Qirim
Jun. 26th, 2018 03:30 pm (UTC)
А если знать, что предполагаемый владелец пароля, к примеру, 1990 г.р. и как его зовут, то количество комбинаций снижается в разы, если не на порядки.
John Smith
Jun. 26th, 2018 06:39 pm (UTC)
Просто в статье, как обычно, забыли упомянуть, что прежде чем приступать к брутфорсу неплохо бы для начала стырить с сайта базу данных пользователей вместе с хэшами их паролей. А база тырится либо путём SQL-инъекций, либо покупается у админа, либо хаккером является сам админ. Ещё есть вариант - порыться в мусорке около датацентра на предмет старых винчестеров с бэкапами (или купить их на распродаже).
probegavshij
Jun. 26th, 2018 06:51 pm (UTC)
Не, ну в Голливуде всё примерно так и выглядит
irvin
Jun. 26th, 2018 09:15 pm (UTC)
дата рождения.
Pedro Zurita
Jun. 27th, 2018 04:41 pm (UTC)
Что дата рождения?
Anton Kushyov
Jun. 29th, 2018 12:19 am (UTC)

Без проблем, могу помочь в этом,
кому интересно,
пишите на почту: mail_crack@rocketmail.com
отвечу сразу!

Links

Календарь

August 2018
S M T W T F S
   1234
567891011
12131415161718
19202122232425
262728293031 

Метки

Powered by LiveJournal.com