Атаки грубой силы: помимо основ пароля
Таким образом, у вас есть надежный пароль. Этого достаточно? Психология создания пароля предполагает, что мы не обязательно защищены от атак грубой силы.
« Эвристическое грубое принуждение предоставляет хакерам возможность взломать длинные и сложные пароли, используя взлом паролей в стиле грубой силы, не тратя впустую годы, пробуя нереальные пароли », - говорит Брэндон Смит, выступая в роли Джеймса Пингвина для 2600 ,
Многие из нас знают основы или то, что считается здравым смыслом в отношении безопасности рабочих станций. Вы знаете ... используете антивирусное программное обеспечение и убедитесь, что файл определений обновлен. Убедитесь, что ваша ОС одинаково исправлена. Не загружайте программное обеспечение с сомнительных сайтов.
Что касается паролей, то все просто: не используйте пароли, которые можно найти в словаре. Для корпоративных и более безопасных веб-сайтов реализуются политики паролей, которые предписывают использование цифр, букв и, иногда, специальных символов.
Этого достаточно?
С недавней публикацией сотен тысяч имен пользователей и связанных паролей, кажется, что здравый смысл на самом деле не очень распространен.
Недавний Yahoo! Взломать электронную почту показал, что «123456» был использован в качестве пароля для 1666 пользователей. Хотите верьте, хотите нет, но пароль использовали 780 пользователей. Пожалуйста!
Как только хакеры могут проникнуть на сайт, они попадают в список имен пользователей и паролей. Файл, который обычно шифруется или «хэшируется» с использованием MD5 (алгоритм дайджеста сообщений - широко используемая криптографическая хэш-функция).
Затем хакеры попытаются сгенерировать хэши с помощью грубой силы и сравнить данные из украденного файла с вновь созданным хеш-файлом. Таким образом, после нарушения они могут опубликовать все пароли в Интернете.
Быстрое различие: атака по словарю - это когда хакер использует файл словаря для перебора каждого возможного слова для создания хеш-файла, который затем можно использовать для сравнения с целевым хешем.
Файлы словаря могут быть загружены из нескольких мест, таких как Пиратская бухта , так что это то, что дети сценария могут использовать. Атака по словарю хорошо работает с однословными паролями, но терпит неудачу с более сложными паролями, такими как те, которые требуются в большинстве зрелых организаций.
Атаки грубой силой отличаются тем, что они будут циклически проходить через каждую возможную комбинацию символов (например, aaaaaaa, aaaaaab, aaaaaac, aaaaaad и т. Д.), Вместо использования списка словаря. Будучи очень эффективными, при достаточном времени, атаки методом грубой силы, как правило, тратят много циклов, пытаясь взломать хэш из бессмысленных комбинаций букв, таких как:
• ддддддд
• jhakdsj
• асдасда
Если подсчитать, что мы можем перемещаться по 50 хэшам в секунду, то 7-буквенный пароль (самая распространенная длина пароля) имеет 56 222 671 232 возможных словосочетания (см. Таблицу ниже), на взлом которых потребуется почти 2000 лет, используя грубую силу.
Количество букв Возможные комбинации 1 26 2 1,352 3 52,728 4 1,827,904 5 59,406,880 6 1,853,494,656 7 56,222,671,232Пароли, напоминающие шум линий, генерируются только самыми параноидальными пользователями. Большинство людей генерируют слова или фразы, которые они могут легко запомнить. Это означает, что они будут следовать некоторым основным правилам построения слов при создании своего пароля / ключевой фразы.
Например, сколько из вас,
1. использовать английский как слова или словосочетания?
2. использовать дефисы и подчеркивания между словами?
3. использовать конечную пунктуацию, соответственно, в конце пароля или парольной фразы?
4. Замените гласные числа такими, как: 4 = A, 3 = E, 0 = O и т. Д.?
Понимая некоторую базовую морфологию, хакеры имеют возможность выйти за рамки базовых атак грубой силы и использовать более умные алгоритмы. По словам Смита, следует учитывать использование апострофов, дефисов, подчеркиваний, суффиксов, гласных и шаблонов повторения символов.
Апостроф Использование
Здесь мы ожидаем один апостроф с последующим 's' и расположенным от последнего или второго до последнего символа. Для алгоритма мы не имеем дело с апострофом, чтобы показать сокращение, только владение и владение множественным числом.
Дефисы и подчеркивания
Правило здесь состоит в том, что они используются независимо для разделения двух уникальных конструкций; тогда каждое слово проверяется отдельно.
Конечная пунктуация
Ожидается, что конечная пунктуация (!?.,) Будет в конце пароля, и мы не ожидаем увидеть более одного символа пунктуации. Любая другая конечная пунктуация не принимается.
Суффиксы
Допустимые суффиксы включают -able, -ac, -acity, -age и т. Д. Лист суффикса , Здесь правило состоит в том, что последняя буква перед суффиксом не может совпадать с первой буквой суффикса. Правило не допускает повторения гласных.
Гласные
Слово должно содержать хотя бы одну гласную.
Использование анализа положения персонажа, анализируя положение персонажа относительно его соседей, позволяет хакеру узнать, подходят ли персонажи рядом друг с другом. Здесь задействованы три теста, а также методы получения более точных результатов, а также методы работы с более сложными персонажами. Этот эвристический метод позволяет хакерам быстрее взламывать длинные и сложные пароли.
Как мы защищаемся от такого подхода? Что ж, если вы действительно цените свою конфиденциальность, вы лучше поймете, как хакеры используют атаки методом "грубой силы", чтобы преобразовать хэш в ваш пароль, и создают пароли достаточной сложности, которые победят их атаки методом "грубой силы".
Ваша организация практикует пароли здравого смысла? Поговорите и дайте мне знать.
Похожие
Что такое атака грубой силы?... основная атака грубой силы - это атака по словарю, когда злоумышленник прорабатывает словарь возможных паролей и пробует их все. Словарные атаки начинаются с некоторых предположений об общих паролях, которые можно попытаться угадать из списка в словаре. Эти атаки, как правило, несколько устарели, учитывая новые и более эффективные методы. Последние компьютеры, изготовленные в течение последних 10 лет, могут взломать буквенно-цифровой пароль из 8 символов - заглавные и строчные Объяснение атак грубой силы: как уязвимо все шифрование
... грубой силой довольно просты для понимания, но от них трудно защититься"> Атаки грубой силой довольно просты для понимания, но от них трудно защититься. Шифрование - это математика и по мере того, как компьютеры становятся быстрее в математике, они быстрее пробуют все решения и видят, какое из них подходит. Эти атаки могут использоваться против любого типа шифрования Обнаружение атак грубой силы с помощью Splunk
... силы. Являясь лидером в области оперативного интеллекта и промежуточного программного обеспечения, Function1 не только разработал базовую архитектуру для некоторых из крупнейших в мире развертываний Splunk, но и помог разработать стандарт управления корпоративным классом и передачи данных. Инструмент грубой силы IP-Box взламывает любой пароль iPhone
Снова пароли. Всегда пароли. Пару недель назад я упомянул новая фишинговая афера нацелены на владельцев потерянных или украденных устройств Apple. Теперь появляется новая причина для повышения безопасности - или модернизации. Инструмент IP-Box, ваш онлайн по цене около 170 фунтов стерлингов, взломает четырехзначный код доступа на любом Тестирование на перебор (OWASP-AT-004)
... пароля. Следовательно, можно выполнить атаку для получения действительной учетной записи пользователя и пароля, попытавшись перечислить много (то есть словарную атаку) или всех возможных кандидатов. После успешной атаки методом перебора злоумышленник может получить доступ к: Конфиденциальная информация / данные; Частные разделы веб-приложения могут раскрывать конфиденциальные документы, данные профиля пользователя, финансовое состояние, банковские реквизиты, Запустите грубую атаку WordPress с помощью WPScan
Как администратор сайта WordPress вы несете ответственность за безопасность вашего сайта. Скорее всего, вы уже многое сделали, чтобы улучшить Безопасность WordPress а как же пользователи? Все ли они используют надежный пароль? Обычно пользователи не любят надежные пароли, и единственный способ убедиться, что они используют надежные пароли, - это Оценка времени взлома пароля
Думаете, ваш пароль достаточно безопасен? Вы можете подумать еще раз. В 2014 году хакеры раскрыли свою личную информацию почти половине американцев, и это даже не считая многих компаний, которые столкнулись с нарушениями. И все больше и больше предприятий хранят свою информацию в облаке и используют такие SaaS-решения, как бизнес-аналитика а также HR программные платформы Защитите Apache от атак грубой силы или DDoS с помощью модулей Mod_Security и Mod_evasive.
Для тех из вас, кто занимается хостингом, или если вы размещаете свои собственные серверы и открываете их для Интернета, защита ваших систем от злоумышленников должна быть первоочередной задачей. mod_security ( механизм обнаружения и предотвращения вторжений с открытым исходным кодом для веб-приложений, который легко интегрируется с веб-сервером) и mod_evasive - два очень важных инструмента, которые можно использовать для защиты веб-сервера от перебора или (D) DoS-атак. Никто не пытается обмануть ваш пароль администратора WordPress
Когда речь заходит об улучшении безопасности экосистемы WordPress, одной из самых больших проблем, которые мы видим, является количество ложных данных, вводящее в заблуждение и часто ложную информацию, которую выдают компании по обеспечению безопасности. Одна из самых частых ложных идей, которые мы видим, это утверждение о том, что существует множество попыток взломать пароль администратора WordPress. Мало того, что утверждение является ложным, но настолько очевидно ложным, что эти охранные Трой Хант: У нашего хэширования паролей нет одежды
... пароля и все было хорошо. Однонаправленная природа хэша означала, что после прохождения алгоритма хеширования сохраненный пароль может быть проверен только путем хеширования другого пароля (обычно предоставляется при входе в систему) и сравнения их. Все были счастливы. Затем появились эти надоедливые радужные столы. Внезапно огромные коллекции паролей могут быть хэшированы и сохранены в этих цветных маленьких таблицах, а затем сопоставлены с существующими хэшированными паролями (часто Создать надежный пароль несложно
... основном она включает в себя попытки всевозможных комбинаций цифр, букв и символов. Итак, если злоумышленник знает, что пароль имеет длину 6 символов, он может сначала попробовать aaaaaa, затем попробовать aaaaab, затем aaaaac и так далее. Хотя это может занять много времени - и он больше не используется - он гарантированно правильно угадывает ваш пароль при наличии достаточного времени. Чтобы взломщикам паролей было трудно получить ваш пароль, вам нужно увеличить количество
Комментарии
Готовы опередить атаки грубой силы?Готовы опередить атаки грубой силы? Получить 1: 1 демо чтобы узнать, как Varonis обнаруживает атаки, чтобы вы могли их остановить. Так что же может объяснить ложные утверждения о нападениях грубой силы?
Так что же может объяснить ложные утверждения о нападениях грубой силы? Одно из объяснений состоит в том, что эти охранные компании не имеют представления об основах безопасности, например, знают, что такое атака методом подбора. Учитывая, что вам не нужно смотреть на какой-то неясный ресурс, чтобы узнать, что они собой представляют, вы просто нужно идти в википедию Нет никаких оправданий для этого. Другое Вам нужна веская причина, чтобы немедленно повысить надежность своего пароля Origin, если вы не хотите потерять доступ к своему инвентарю игр, а также к своей игровой репутации?
Вам нужна веская причина, чтобы немедленно повысить надежность своего пароля Origin, если вы не хотите потерять доступ к своему инвентарю игр, а также к своей игровой репутации? Мы собираемся дать вам довольно хороший. Недавно выпущенный прокси-инструмент Origin, обеспечивающий грубое принуждение, - это не только эффективность проверки конечного пользователя основных принципов безопасности, но также встроенная опция для анализа инвентаризации игр и связанной с ними игровой информации для затронутого Как надежность пароля меняется со временем?
Как надежность пароля меняется со временем? Ответы могут вас удивить. Насколько силен типичный пароль сейчас - и насколько он был силен в 1980-х годах? Введите слово (не ваш текущий пароль) и перетащите ползунок, чтобы выбрать год, чтобы узнать, сколько времени потребуется, чтобы кто-то взломал этот термин, если бы это был ваш пароль. Это может занять от бесконечного времени до тысячелетия до простых долей миллисекунды. Вы можете включить или выключить функцию «список
Этого достаточно?
Этого достаточно?
1. использовать английский как слова или словосочетания?
2. использовать дефисы и подчеркивания между словами?
3. использовать конечную пунктуацию, соответственно, в конце пароля или парольной фразы?
Как мы защищаемся от такого подхода?
Ваша организация практикует пароли здравого смысла?
Скорее всего, вы уже многое сделали, чтобы улучшить Безопасность WordPress а как же пользователи?
Все ли они используют надежный пароль?
Готовы опередить атаки грубой силы?