Атаки грубой силы: помимо основ пароля

Таким образом, у вас есть надежный пароль. Этого достаточно? Психология создания пароля предполагает, что мы не обязательно защищены от атак грубой силы.

« Эвристическое грубое принуждение предоставляет хакерам возможность взломать длинные и сложные пароли, используя взлом паролей в стиле грубой силы, не тратя впустую годы, пробуя нереальные пароли », - говорит Брэндон Смит, выступая в роли Джеймса Пингвина для 2600 ,

Многие из нас знают основы или то, что считается здравым смыслом в отношении безопасности рабочих станций. Вы знаете ... используете антивирусное программное обеспечение и убедитесь, что файл определений обновлен. Убедитесь, что ваша ОС одинаково исправлена. Не загружайте программное обеспечение с сомнительных сайтов.

Что касается паролей, то все просто: не используйте пароли, которые можно найти в словаре. Для корпоративных и более безопасных веб-сайтов реализуются политики паролей, которые предписывают использование цифр, букв и, иногда, специальных символов.

Этого достаточно?

С недавней публикацией сотен тысяч имен пользователей и связанных паролей, кажется, что здравый смысл на самом деле не очень распространен.

Недавний Yahoo! Взломать электронную почту показал, что «123456» был использован в качестве пароля для 1666 пользователей. Хотите верьте, хотите нет, но пароль использовали 780 пользователей. Пожалуйста!

Как только хакеры могут проникнуть на сайт, они попадают в список имен пользователей и паролей. Файл, который обычно шифруется или «хэшируется» с использованием MD5 (алгоритм дайджеста сообщений - широко используемая криптографическая хэш-функция).

Затем хакеры попытаются сгенерировать хэши с помощью грубой силы и сравнить данные из украденного файла с вновь созданным хеш-файлом. Таким образом, после нарушения они могут опубликовать все пароли в Интернете.

Быстрое различие: атака по словарю - это когда хакер использует файл словаря для перебора каждого возможного слова для создания хеш-файла, который затем можно использовать для сравнения с целевым хешем.

Файлы словаря могут быть загружены из нескольких мест, таких как Пиратская бухта , так что это то, что дети сценария могут использовать. Атака по словарю хорошо работает с однословными паролями, но терпит неудачу с более сложными паролями, такими как те, которые требуются в большинстве зрелых организаций.

Атаки грубой силой отличаются тем, что они будут циклически проходить через каждую возможную комбинацию символов (например, aaaaaaa, aaaaaab, aaaaaac, aaaaaad и т. Д.), Вместо использования списка словаря. Будучи очень эффективными, при достаточном времени, атаки методом грубой силы, как правило, тратят много циклов, пытаясь взломать хэш из бессмысленных комбинаций букв, таких как:

• ддддддд
• jhakdsj
• асдасда

Если подсчитать, что мы можем перемещаться по 50 хэшам в секунду, то 7-буквенный пароль (самая распространенная длина пароля) имеет 56 222 671 232 возможных словосочетания (см. Таблицу ниже), на взлом которых потребуется почти 2000 лет, используя грубую силу.

Количество букв Возможные комбинации 1 26 2 1,352 3 52,728 4 1,827,904 5 59,406,880 6 1,853,494,656 7 56,222,671,232

Пароли, напоминающие шум линий, генерируются только самыми параноидальными пользователями. Большинство людей генерируют слова или фразы, которые они могут легко запомнить. Это означает, что они будут следовать некоторым основным правилам построения слов при создании своего пароля / ключевой фразы.

Например, сколько из вас,
1. использовать английский как слова или словосочетания?
2. использовать дефисы и подчеркивания между словами?
3. использовать конечную пунктуацию, соответственно, в конце пароля или парольной фразы?
4. Замените гласные числа такими, как: 4 = A, 3 = E, 0 = O и т. Д.?

Понимая некоторую базовую морфологию, хакеры имеют возможность выйти за рамки базовых атак грубой силы и использовать более умные алгоритмы. По словам Смита, следует учитывать использование апострофов, дефисов, подчеркиваний, суффиксов, гласных и шаблонов повторения символов.

Апостроф Использование
Здесь мы ожидаем один апостроф с последующим 's' и расположенным от последнего или второго до последнего символа. Для алгоритма мы не имеем дело с апострофом, чтобы показать сокращение, только владение и владение множественным числом.

Дефисы и подчеркивания
Правило здесь состоит в том, что они используются независимо для разделения двух уникальных конструкций; тогда каждое слово проверяется отдельно.

Конечная пунктуация
Ожидается, что конечная пунктуация (!?.,) Будет в конце пароля, и мы не ожидаем увидеть более одного символа пунктуации. Любая другая конечная пунктуация не принимается.

Суффиксы
Допустимые суффиксы включают -able, -ac, -acity, -age и т. Д. Лист суффикса , Здесь правило состоит в том, что последняя буква перед суффиксом не может совпадать с первой буквой суффикса. Правило не допускает повторения гласных.

Гласные
Слово должно содержать хотя бы одну гласную.

Использование анализа положения персонажа, анализируя положение персонажа относительно его соседей, позволяет хакеру узнать, подходят ли персонажи рядом друг с другом. Здесь задействованы три теста, а также методы получения более точных результатов, а также методы работы с более сложными персонажами. Этот эвристический метод позволяет хакерам быстрее взламывать длинные и сложные пароли.

Как мы защищаемся от такого подхода? Что ж, если вы действительно цените свою конфиденциальность, вы лучше поймете, как хакеры используют атаки методом "грубой силы", чтобы преобразовать хэш в ваш пароль, и создают пароли достаточной сложности, которые победят их атаки методом "грубой силы".

Ваша организация практикует пароли здравого смысла? Поговорите и дайте мне знать.

Этого достаточно?
Этого достаточно?
1. использовать английский как слова или словосочетания?
2. использовать дефисы и подчеркивания между словами?
3. использовать конечную пунктуацию, соответственно, в конце пароля или парольной фразы?
Как мы защищаемся от такого подхода?
Ваша организация практикует пароли здравого смысла?