Авторские статьи Пароли, которые мы выбираем.

Discussion in 'Статьи' started by -=Cerberus=-, 7 Jun 2012.

  1. -=Cerberus=-

    -=Cerberus=- κρυπτός γράφω

    Joined:
    29 Apr 2012
    Messages:
    1,320
    Likes Received:
    919
    Reputations:
    391
    Пароли, которые мы выбираем.

    Доброго времени суток всем, кто интересуется информационной безопасностью или небезопасностью. Совсем недавно из социально-профессиональной сети LinkedIn были украдены реквизиты 6.143.150 аккаунтов и, конечно же, хэши паролей этих аккаунтов были выложены в сеть.
    Мне уже давно хотелось провести небольшое исследование на тему безопасности паролей, но под руку не попадалось дампов хэшей с серьезных ресурсов. И вот момент настал. Я буду краток…
    Мной была проведена атака по словарю…
    Полный перебор я специально не использовал, так как теряется смысл изыскания, а наша задача – понять, как пользователи «выдумывают» себе пароли.
    Итак, что имелось в наличии:
    - словарь 580.738.891 уникальных слов (реальные слова
    различных народов мира, дампы паролей, а также комбинации часто встречающихся фраз).
    - программа брутфорсер oclHashcat-plus
    - дамп хэшей(SHA1) с LinkedIn

    Пароли находились как прямым сравнением со словарем, так и применением к этому словарю самых распространенных правил.
    - «мутирование» регистров символов в слове (password - >
    PaSSwoRd)
    - дублирование символовслова, инверсия слова, вращение
    (password - > passwordpasswordpassword)
    - добавление спец. символов в начало и конец (password - >
    password2012)
    - замена символов на символы схожие в написании (password - >
    p@$$word)
    - и многие другие.
    Итого было найдено 36771 из 6.143.150 паролей. Примечательно то, что поиск дублей в дамбе показал лишь 146265 хэшей, это крайне меня удивило. Число найденных паролей не так велико, но присмотримся к результатам.
    len: 6 count:179
    len: 7 count:967
    len: 8 count:13153 - фаворит 8 символьный пароль.
    len: 9 count:5544 - второе, просадка по кол-ву больше чем в два раза
    len: 10 count:4961
    len: 11 count:4383
    len: 12 count:3264
    len: 13 count:1926
    len: 14 count:1124
    len: 15 count:513
    len: 16 count:689
    len: 17 count:24
    len: 18 count:24
    len: 19 count:7
    len: 20 count:5
    len: 21 count:2
    len: 22 count:2
    len: 24 count:2
    len: 26 count:2 - встречались и такие особи.
    диаграмма распределения длин паролей:

    [​IMG]

    А теперь главное, вернемся к теме «Пароли, которые мы выбираем»
    Стоит отдать должное LinkedIn, цифровые пароли там запрещены (не одного не было найдено). Я не стану уделять внимание слабым паролям, а обращусь сразу к сложным. Очень много паролей, основанных на преобразованных словах, например, таких, которые, я указал в правилах «мутации» слов. Встречаются пароли типа ФАМИЛИЯ-ИМЯ, длинный пароль, но, тем не менее, достаточно иметь дамб имен с того же Facebook, чтобы с легкостью находить пароли такого типа. Дублирование слов создает длинные пароли, но крайне уязвимые против атак по словарю, например: «principinoprprincipinopr» - 24 символа, недоступные для прямого брутфорса, по причине «столетий» оказывается бесполезным против атак по словарям.
    Различные крылатые выражения, также используются в качестве паролей. Проблема очевидна, они могут быть в словаре, а благодаря правилам «мутации», подставляемых в хэш функцию слов, хоть 10 раз напишите «ilovecats», такой пароль будет найден.
    Отношение паролей использующих символы в нижнем регистре составляет примерно 82%, остальные же 18% - это смешанные или пароли в верхнем регистре.
    Я не стану утверждать, что данная статистика абсолютно точна, ведь есть ещё 6.106.379 нерасшифрованных хэшей.
    Подведу итоги в виде рекомендаций:
    - аксиома №1 «Не создавай пароль меньше 12 символов».
    - аксиома №2 «Не создавай пароль из цифр».
    - аксиома №3 «Используй в пароле буквы в верхнем и нижнем регистре, а
    также цифры и символы»
    - аксиома №4 «Не используй дублирующиеся слова, не важно насколько они
    сложны по отдельности».
    - аксиома №5 «Не изменяй реальное слово, используя замены, дабы
    превратить его в сложное, но читаемое»
    - аксиома №6 последняя «Если ты с трудом запомнил свой пароль, или без
    записи его, где-либо тебе не обойтись, знай это стойкий пароль!»

    Спасибо всем за внимание, прошу простить за несколько художественный стиль повествования. Первая статья комом

    :D

    P.S исходник моей статьи находится тут:
    ТУТ
     
    3 people like this.
  2. kzooz

    kzooz New Member

    Joined:
    20 May 2012
    Messages:
    18
    Likes Received:
    1
    Reputations:
    5
    Хорошая статья. Лично у меня на одном ресурсе стоял пароль примерно в 26 символов, который содержал простенькую и запоминающуюся фразу.
     
  3. Alex24

    Alex24 Member

    Joined:
    5 Sep 2010
    Messages:
    388
    Likes Received:
    56
    Reputations:
    19
    ТС,раз уж разговор о паролях,то у меня такой вопрос,как к знающему. Если в пароле ставить пробел (некоторые сервисы это поддержуют),то какова вероятность взлома (брута) ?
    Допустим у меня пароль alex alex
     
  4. -=Cerberus=-

    -=Cerberus=- κρυπτός γράφω

    Joined:
    29 Apr 2012
    Messages:
    1,320
    Likes Received:
    919
    Reputations:
    391
    довольно высокая, никто не запрещает создать правило типа
    удвоить слово из словаря, а между ним поставить символ из алфавита N
     
  5. j0sur

    j0sur Member

    Joined:
    8 Apr 2012
    Messages:
    143
    Likes Received:
    7
    Reputations:
    0
    Я поступил иначе, я взял простенькую запоминающуюся фразу, перевел на английский, взял первые буквы слов, цифры оствил как есть. Получил пасс в 14 символов.
     
  6. kzooz

    kzooz New Member

    Joined:
    20 May 2012
    Messages:
    18
    Likes Received:
    1
    Reputations:
    5
    Тоже вариант. Смысл вобщем-то похож: и запоминается, и подобрать такой пароль по словарю практически нереально.
     
  7. alextrust

    alextrust Member

    Joined:
    29 Mar 2010
    Messages:
    155
    Likes Received:
    27
    Reputations:
    11
    когда то чувак предложил интересную схему
    пасы всегда будут разные для всех ресов
    принцип такой

    берем пас например "SuperMegapaSS"
    и подставляем первую и последнюю букву ресурса
    для ачата будет так
    "aSuperMegapaSSt"
    так можно извращаться как хочешь)
    и пасы будут разные и легко запомнить ;)
     
  8. Miata

    Miata New Member

    Joined:
    9 Jan 2011
    Messages:
    0
    Likes Received:
    1
    Reputations:
    0
    Тут вроде не упомянули принцип выбора пароля мной :)
    Скажем, если мне надо выбрать пароль, то беру запоминающееся мне слово.
    Эвакуатор, например. Очень хорошо запоминается :D
    И пишу я это слово на русском, но в англ раскладке. Т.е. получается 'dfrefnjh. Бывает еще добавляю циферки. Банальные циферки, типа года или даты рождения.
    Меня почему - то полностью удовлетворяют мои пароли, ибо меня еще никогда не взламывали. Мб потому, что я не такая личность, что бы каждый день подвергаться взломческим атакам, но всё же :)
     
  9. Miata

    Miata New Member

    Joined:
    9 Jan 2011
    Messages:
    0
    Likes Received:
    1
    Reputations:
    0
    t3cHn0iD, и? Я смотрю вы на форуме только и делаете, что придираетесь к образно сказанным выражениям. Вашей чудной терминологии я не знаю, так что присуньте свой фэйспалм куда подальше и оставьте для местных троллей.
    Очень содержательный комментарий. Браво.
     
    1 person likes this.
  10. t3cHn0iD

    t3cHn0iD Banned

    Joined:
    6 Apr 2009
    Messages:
    315
    Likes Received:
    63
    Reputations:
    66
    Обожаю таких ТП как ты ;)
    И присунуть - это не ко мне.
     
  11. Miata

    Miata New Member

    Joined:
    9 Jan 2011
    Messages:
    0
    Likes Received:
    1
    Reputations:
    0
    Мои поздравления. Наслаждайся ;)
     
  12. Alex24

    Alex24 Member

    Joined:
    5 Sep 2010
    Messages:
    388
    Likes Received:
    56
    Reputations:
    19
    Кстати, есть интересный онлайн-сервис, который определяет (теоретически) то количество времени, которое потребуется хакеру, чтобы взломать ваш пароль. Вы вводите на сайте свой пароль – внизу отображается время, чтобы его взломать . Так что делайте выводы сами:
    http://howsecureismypassword.net/

    ЗЫ: теоретически мой предложенный пароль типа alex alex ломанется спустя 35 дней.Но подобный сервис и пугает - а вдруг это сборщик паролей для баз,что для брута?! :D :confused:
     
    #12 Alex24, 9 Jun 2012
    Last edited: 9 Jun 2012
  13. Miata

    Miata New Member

    Joined:
    9 Jan 2011
    Messages:
    0
    Likes Received:
    1
    Reputations:
    0
    Какая - то бредовая штукенция.
    Моему эвакуатору ('dfrefnjh) срок тоже в 35 дней дали.
    Но стоило мне добавить к эвакуатору еще 5 цифр и взлом затянется на 293 млн лет :D :D
     
  14. Alex24

    Alex24 Member

    Joined:
    5 Sep 2010
    Messages:
    388
    Likes Received:
    56
    Reputations:
    19
    Да нет,не бредовая ;) Метод с простым транслитом русских слов англ.буквами малоэффективен.Да ты и сам понял,что нужно разбавлять буквами,цифрами,спецсимволами.....
     
  15. Miata

    Miata New Member

    Joined:
    9 Jan 2011
    Messages:
    0
    Likes Received:
    1
    Reputations:
    0
    понялА. судя по этой теории вообще, достаточно написать транслитом одно словцо + 5 цифр. на 778 тысяч лет хватит. ну а плюс 1 символ - на 16 млрд лет. прекрасно, в танке.
     
  16. alextrust

    alextrust Member

    Joined:
    29 Mar 2010
    Messages:
    155
    Likes Received:
    27
    Reputations:
    11
    не очень актуально)
    такие можно подобрать
     
  17. faqhck

    faqhck New Member

    Joined:
    16 May 2012
    Messages:
    6
    Likes Received:
    0
    Reputations:
    0
    Все три сервиса выдают разные результаты на одни и те же пассы
    _http://dl.dropbox.com/u/209/zxcvbn/test/index.html
    _http://lastbit.com/pswcalc.asp
    _http://howsecureismypassword.net/
     
  18. Ereee

    Ereee Elder - Старейшина

    Joined:
    1 Dec 2011
    Messages:
    566
    Likes Received:
    373
    Reputations:
    267
    Мой пароль сбрутят за "About 6 novemvigintillion years".
     
  19. -=Cerberus=-

    -=Cerberus=- κρυπτός γράφω

    Joined:
    29 Apr 2012
    Messages:
    1,320
    Likes Received:
    919
    Reputations:
    391

    нет теперь твой пароль в базе и его сбрутят сразу :D
     
  20. nikto

    nikto Elder - Старейшина

    Joined:
    2 Mar 2008
    Messages:
    39
    Likes Received:
    11
    Reputations:
    4
    Тоже занимался этими хешами, только нашёл чуть больше – 3 150 189 штук:
    Code:
    $ cat linkedin.pot | sort -u | wc -l
    3150189
    
    Автор темы, дело в том, что значительная часть утекших хешей "занулена" в начале (первые 20 бит), из-за этого они, разуеется, не берутся как простые sha1. Но даже незанулённых я нашёл поболее:

    Code:
    $ cat linkedin.pot | grep -v '$dynamic_26$00000' | sort -u | wc -l
    434247
    
    Статистика по длинам:
    Code:
     6 559420
     7 521178
     8 1016304
     9 485733
    10 277536
    11 107306
    12 50864
    13 18934
    14 8295
    15 2845
    16 1739
    17 125
    18 59
    19 20
    20 17
    21 4
    22 3
    23 3
    32 1
    40 1
    
    Картинка: http://imgur.com/rjyeO
     
    #20 nikto, 14 Jun 2012
    Last edited: 14 Jun 2012
    1 person likes this.
Loading...