![]() |
Пароли, которые мы выбираем.
Доброго времени суток всем, кто интересуется информационной безопасностью или небезопасностью. Совсем недавно из социально-профессиональной сети LinkedIn были украдены реквизиты 6.143.150 аккаунтов и, конечно же, хэши паролей этих аккаунтов были выложены в сеть. Мне уже давно хотелось провести небольшое исследование на тему безопасности паролей, но под руку не попадалось дампов хэшей с серьезных ресурсов. И вот момент настал. Я буду краток… Мной была проведена атака по словарю… Полный перебор я специально не использовал, так как теряется смысл изыскания, а наша задача – понять, как пользователи «выдумывают» себе пароли. Итак, что имелось в наличии: - словарь 580.738.891 уникальных слов (реальные слова различных народов мира, дампы паролей, а также комбинации часто встречающихся фраз). - программа брутфорсер oclHashcat-plus - дамп хэшей(SHA1) с LinkedIn Пароли находились как прямым сравнением со словарем, так и применением к этому словарю самых распространенных правил. - «мутирование» регистров символов в слове (password - > PaSSwoRd) - дублирование символовслова, инверсия слова, вращение (password - > passwordpasswordpassword) - добавление спец. символов в начало и конец (password - > password2012) - замена символов на символы схожие в написании (password - > p@$$word) - и многие другие. Итого было найдено 36771 из 6.143.150 паролей. Примечательно то, что поиск дублей в дамбе показал лишь 146265 хэшей, это крайне меня удивило. Число найденных паролей не так велико, но присмотримся к результатам. len: 6 count:179 len: 7 count:967 len: 8 count:13153 - фаворит 8 символьный пароль. len: 9 count:5544 - второе, просадка по кол-ву больше чем в два раза len: 10 count:4961 len: 11 count:4383 len: 12 count:3264 len: 13 count:1926 len: 14 count:1124 len: 15 count:513 len: 16 count:689 len: 17 count:24 len: 18 count:24 len: 19 count:7 len: 20 count:5 len: 21 count:2 len: 22 count:2 len: 24 count:2 len: 26 count:2 - встречались и такие особи. диаграмма распределения длин паролей: http://www.securitylab.ru/upload/res...afb1c6bcc2.png А теперь главное, вернемся к теме «Пароли, которые мы выбираем» Стоит отдать должное LinkedIn, цифровые пароли там запрещены (не одного не было найдено). Я не стану уделять внимание слабым паролям, а обращусь сразу к сложным. Очень много паролей, основанных на преобразованных словах, например, таких, которые, я указал в правилах «мутации» слов. Встречаются пароли типа ФАМИЛИЯ-ИМЯ, длинный пароль, но, тем не менее, достаточно иметь дамб имен с того же Facebook, чтобы с легкостью находить пароли такого типа. Дублирование слов создает длинные пароли, но крайне уязвимые против атак по словарю, например: «principinoprprincipinopr» - 24 символа, недоступные для прямого брутфорса, по причине «столетий» оказывается бесполезным против атак по словарям. Различные крылатые выражения, также используются в качестве паролей. Проблема очевидна, они могут быть в словаре, а благодаря правилам «мутации», подставляемых в хэш функцию слов, хоть 10 раз напишите «ilovecats», такой пароль будет найден. Отношение паролей использующих символы в нижнем регистре составляет примерно 82%, остальные же 18% - это смешанные или пароли в верхнем регистре. Я не стану утверждать, что данная статистика абсолютно точна, ведь есть ещё 6.106.379 нерасшифрованных хэшей. Подведу итоги в виде рекомендаций: - аксиома №1 «Не создавай пароль меньше 12 символов». - аксиома №2 «Не создавай пароль из цифр». - аксиома №3 «Используй в пароле буквы в верхнем и нижнем регистре, а также цифры и символы» - аксиома №4 «Не используй дублирующиеся слова, не важно насколько они сложны по отдельности». - аксиома №5 «Не изменяй реальное слово, используя замены, дабы превратить его в сложное, но читаемое» - аксиома №6 последняя «Если ты с трудом запомнил свой пароль, или без записи его, где-либо тебе не обойтись, знай это стойкий пароль!» Спасибо всем за внимание, прошу простить за несколько художественный стиль повествования. Первая статья комом P.S исходник моей статьи находится тут: ТУТ |
Хорошая статья. Лично у меня на одном ресурсе стоял пароль примерно в 26 символов, который содержал простенькую и запоминающуюся фразу.
|
ТС,раз уж разговор о паролях,то у меня такой вопрос,как к знающему. Если в пароле ставить пробел(некоторые сервисы это поддержуют),то какова вероятность взлома (брута) ?
Допустим у меня пароль alex alex |
довольно высокая, никто не запрещает создать правило типа
удвоить слово из словаря, а между ним поставить символ из алфавита N |
Цитата:
|
Цитата:
|
когда то чувак предложил интересную схему
пасы всегда будут разные для всех ресов принцип такой берем пас например "SuperMegapaSS" и подставляем первую и последнюю букву ресурса для ачата будет так "aSuperMegapaSSt" так можно извращаться как хочешь) и пасы будут разные и легко запомнить |
Тут вроде не упомянули принцип выбора пароля мной
Скажем, если мне надо выбрать пароль, то беру запоминающееся мне слово. Эвакуатор, например. Очень хорошо запоминается И пишу я это слово на русском, но в англ раскладке. Т.е. получается 'dfrefnjh. Бывает еще добавляю циферки. Банальные циферки, типа года или даты рождения. Меня почему - то полностью удовлетворяют мои пароли, ибо меня еще никогда не взламывали. Мб потому, что я не такая личность, что бы каждый день подвергаться взломческим атакам, но всё же |
t3cHn0iD, и? Я смотрю вы на форуме только и делаете, что придираетесь к образно сказанным выражениям. Вашей чудной терминологии я не знаю, так что присуньте свой фэйспалм куда подальше и оставьте для местных троллей.
Очень содержательный комментарий. Браво. |
Цитата:
И присунуть - это не ко мне. |
Цитата:
|
Кстати, есть интересный онлайн-сервис, который определяет (теоретически) то количество времени, которое потребуется хакеру, чтобы взломать ваш пароль. Вы вводите на сайте свой пароль – внизу отображается время, чтобы его взломать . Так что делайте выводы сами:
http://howsecureismypassword.net/ ЗЫ: теоретически мой предложенный пароль типа alex alex ломанется спустя 35 дней.Но подобный сервис и пугает - а вдруг это сборщик паролей для баз,что для брута?! |
Цитата:
Моему эвакуатору ('dfrefnjh) срок тоже в 35 дней дали. Но стоило мне добавить к эвакуатору еще 5 цифр и взлом затянется на 293 млн лет |
Цитата:
|
Цитата:
|
Цитата:
такие можно подобрать |
Все три сервиса выдают разные результаты на одни и те же пассы
_http://dl.dropbox.com/u/209/zxcvbn/test/index.html _http://lastbit.com/pswcalc.asp _http://howsecureismypassword.net/ |
Мой пароль сбрутят за "About 6 novemvigintillion years".
|
Цитата:
|
Тоже занимался этими хешами, только нашёл чуть больше – 3 150 189 штук:
Код:
$ cat linkedin.pot | sort -u | wc -lКод:
$ cat linkedin.pot | grep -v '$dynamic_26$00000' | sort -u | wc -lКод:
6 559420 |
Ну я сильно не присмастрвиался где там что занулено) просто прогнал по своим словарям с правилами.
Но ваше изыскание также показывает , что 8 символьных паролей больше всех. |
http://i39.fastpic.ru/big/2012/0615/...5be34837bf.png
вот такая статистика можно еще похлеще придумать латиница + кириллица + знаки |
замечу, что гпу фермы
http://ob-security.info/wp-content/u...3/RS_w_ATI.jpg выдают MD5 45B/sec NTLM 70B/sec MD4 75.2B/sec SHA1 15.4/sec (updated) вот такие пироги, какие там 10кк ? |
А чем плох например такой способ?
Код:
$ makepasswd --chars=15 --string='0123456789abcdefABCDEF!@#$%^&*()_+' |
Если пароль составлен рандомно и имеет достаточную длинну, то ваш метод хорош.
В целом в своем микро иследовании я хотел донести две мысли: 1 - осмысленные пароли это риск. 2 - пароли меньше 8 символов, тоже риск. Приведу пару примеров паролей LinkedIn win10ter Ba55fish LINKEDSHIT networking%101 RehaBilitierung 1234567890Pasha 19brdsp19brdsp T1a1l1l1i1s TheAlexanders8 a$4u&4me A$B$C$ a.r.n.u.s a.k.shodhan a.821973 a.rose.b думаю хватит Спасибо за внимание к теме! |
| Время: 17:05 |