К теме взлома паролей

сама тема

Хочу сказать, что все написано вроде правильно, действительно мощности современных графических процессоров хватает для таких задач с лихвой и цифры похожи на правду, но вот в реальности это не так работает.

Эту тему я бы хотел развить в небольшой сборник советов, как не быть взломанным, ака не передать пароли злоумышленнику.

Во первых взламывать ваш аккаунт через вэб интерфейс или запросы типа gет, брутфорсом в современных реалиях никто не будет, так как есть такое понятие, как фриз тайм, то есть после трех четырёх запросов, гетов, аутентификации временно приостанавливается, на несколько минут. Эта метода стара, как мир и приносит свои плоды.

Во вторых, сам брутфорс подразумевает или перебор по словарю, или набор пароля со сдвигом октета. То, есть каждый следующий символ будет сдвигаться только когда предыдущий опробован во всех существующих вариациях. И этот метод взлома куда более затратный по времени и ресурсам, чем по словарю, поэтому цифры могут быть приведены именно по подбору по словарю.

Вы спросите: "так ведь для подбора по словарю нужен этот самый словарь, но тогда всё равно подбор будет ограничен этим словарём, получается, что не факт, что там может оказаться мой супер-пупер заумный пароль". Это так, но, если вы пользуетесь популярными браузерами типа хром, мозила, яндекс или опера, или ещё чего, при этом вкладки у вас не анонимные, то наверняка замечали, что он часто просит вас сохранить пароли от сайтов, а иногда, на какой-нибудь странице, где надо ввести ваш пароль то браузер предупреждает вас, что с этого сайта произошла утечка. Вот так ваш пароль и попадает в цепкие руки мошенников, через утечку базы с сайтов. И с этим вы ничего поделать не сможете, кроме, как сменить пароль.

Другой способ обзавестись вашим паролем это спиздить хэш ваших паролей в вашего компьютера. Если вы пользуетесь старыми опер. системами, не ставите антивирусов и при поиске (предположим) музыки, в интернете, открываете скаченный MP3_music_downloader.exe, то вы в зоне риска. Не открывайте файлы с другим расширением.

Взлом хэшей ваших паролей также производится по словарю или методом перебора и вот тут нет никаких ограничений на фризтайм. Тоолько метод шифрования может поставить препон, но тот же мд5-хэш со 128-битным шифрованием уже взламывается методом перебора.

Извиняюсь за сумбор, поэтому подведу единым итогом.
Пользуйте современные операционные системы, которые имеют обновления безопасности, например win10 или Linux Debian (или ещё какой линух с пролонгированной поддержкой). Придумывайте пароли сложные, но для вас запоминаемые. Также могу посоветовать придумать совершенно сумбурный пароль по типа "JHP18fh))*hjh_1!Piojqb" Который вы можете хранить прямо на рабочем столе в файле блокнота, но вот окончание этого пароля хранить в памяти, например какое-то секретное слово, то есть чтобы пароль при наборе был "JHP18fh))*hjh_1!PiojqbХЕР".

Пользуйте антивирусы и меняйте пароли, если произошла утечка баз с какого-либо сайта. Также не брезгуйте проверенными браузерами типа хрома или мозилы у которых есть режим инкогнито.

Теперь, мой дорогой хомячок, ты стал хакером

У меня везде пароль "Password"
Это и оригинально, и удобно, и легко запомнить.
Ни разу ни кто не взломал.

Размещено через приложение ЯПлакалъ

Ага, я как то проводил опыт, берём делаем вебморду почтового сервера, заводим там 1 аккаунт, сохраняем его в гугл паролях, повторяю, аккаунт там всего один. И хуяк, через некоторое время хром вопит о том, что пароль внезапно утек. И откуда он мог утечь?

Размещено через приложение ЯПлакалъ

Про эти способы взлома не слышал разве что ленивый

Дай-ка подумать...
Может из Гугла?

Размещено через приложение ЯПлакалъ

Сейчас мало кто знает год битвы при Альтенеше.

Размещено через приложение ЯПлакалъ

Нееет, ну что ты, гугл заботится о нас

Размещено через приложение ЯПлакалъ

Кричу ему: "Окей, Гугл! - постирай носки и сходи за пивом!" - херню какую-то отвечает.
Ни чистых носков, ни пива...
Хреново он заботится о нас

Размещено через приложение ЯПлакалъ

1234?

Размещено через приложение ЯПлакалъ

Здесь тоже ?

О... Минусит знаток альтернативной истории

Размещено через приложение ЯПлакалъ

Да

Размещено через приложение ЯПлакалъ

И всё же я не верю в надёжность новых систем ...
бакдоры и бакдыры есть в любой из них. Раз об этом не рассказывают, то или они пока не найдены, или это "для кого надо дверь".

в смысле?

Он сравнил хеш пароля с большой базой утекших в сеть паролей и нашел совпадение. Кто-то когда-то придумал такой же пароль, что не мудрено, мозги у людей работают одинаково.

Чаще всего работет фишинг. Нам на почту прилетает по 2-3 сообщения в день от "администратора" с ссылкой на смену пароля или подтверждение учетных данных. Сегодня на это уже не ведутся ни старушки из бухгалтерии, ни кладовщики на складе.

Можно использовать стихи, можно термины из проф.деятельности, можно марку монитора или автомобиля.
Ключевое!
Большие и маленькие буквы, пара цифирок и спец.символы, это сильно расширяет диапазон перебора.

Размещено через приложение ЯПлакалъ

У нас все секурно! root - забанен. Юзер с правами рута "Лодочник", пас 1234.
Еще никто не догадалсо...

Прекрасно ведутся!
Если еще корпоративный стиль и грозная надпись - на ура!

Размещено через приложение ЯПлакалъ

Не надо открывать файл Детские_сказки.exe, скаченный по рандомной ссылке из интернета и выглядящий как документ Word, но явно им не являющийся.

Не, нифига. Попробовал - не подходит

двухфакторку ставить надо.

НеЗнаю, НеПомню, ИдитеВЖопу в английской раскладке - тоже никто не догадался,
естественно с добавлением цифр в определенных местах

Это сообщение отредактировал hanks - 20.06.2024 - 10:20

Я же говорю: ещё ни разу не взломали

Размещено через приложение ЯПлакалъ

Пиздабол!

Есть еще один вариант, сильно более вероятный, чем описано аффтырем. Сливается база с какого-нибудь говносайта, где ты зарегистрирован. Там правда нет паролей в открытом виде (по крайней мере я сильно надеюсь, что дегенераты, хранящие открытые пароли, уже кончились). Дальше пароли (с привязкой к почте, на минуточку) вычисляются из хешей либо по словарю, либо тупо поиском коллизий (а вот дегенератов, использующих хеши уязвимые к поиску коллизий, да еще и без добавления salt при вычислении, все еще дохуищща). После чего найденный пароль первым делом пробуется на почте (если подошел - бинго, блядь, ты попал по самое дальше некуда). Если нет, пробуем пару "почта - пароль" на популярных ресурсах.