-=Cerberus=-
07.06.2012, 21:05
Пароли, которые мы выбираем.
Доброго времени суток всем, кто интересуется информационной безопасностью или небезопасностью. Совсем недавно из социально-профессиональной сети LinkedIn были украдены реквизиты 6.143.150 аккаунтов и, конечно же, хэши паролей этих аккаунтов были выложены в сеть.
Мне уже давно хотелось провести небольшое исследование на тему безопасности паролей, но под руку не попадалось дампов хэшей с серьезных ресурсов. И вот момент настал. Я буду краток…
Мной была проведена атака по словарю…
Полный перебор я специально не использовал, так как теряется смысл изыскания, а наша задача – понять, как пользователи «выдумывают» себе пароли.
Итак, что имелось в наличии:
- словарь 580.738.891 уникальных слов (реальные слова
различных народов мира, дампы паролей, а также комбинации часто встречающихся фраз).
- программа брутфорсер oclHashcat-plus
- дамп хэшей(SHA1) с LinkedIn
Пароли находились как прямым сравнением со словарем, так и применением к этому словарю самых распространенных правил.
- «мутирование» регистров символов в слове (password - >
PaSSwoRd)
- дублирование символовслова, инверсия слова, вращение
(password - > passwordpasswordpassword)
- добавление спец. символов в начало и конец (password - >
password2012)
- замена символов на символы схожие в написании (password - >
p@$$word)
- и многие другие.
Итого было найдено 36771 из 6.143.150 паролей. Примечательно то, что поиск дублей в дамбе показал лишь 146265 хэшей, это крайне меня удивило. Число найденных паролей не так велико, но присмотримся к результатам.
len: 6 count:179
len: 7 count:967
len: 8 count:13153 - фаворит 8 символьный пароль.
len: 9 count:5544 - второе, просадка по кол-ву больше чем в два раза
len: 10 count:4961
len: 11 count:4383
len: 12 count:3264
len: 13 count:1926
len: 14 count:1124
len: 15 count:513
len: 16 count:689
len: 17 count:24
len: 18 count:24
len: 19 count:7
len: 20 count:5
len: 21 count:2
len: 22 count:2
len: 24 count:2
len: 26 count:2 - встречались и такие особи.
диаграмма распределения длин паролей:
http://www.securitylab.ru/upload/resize_cache/blog/c58/600_600_1/c58ef93f2ef13cf6c8a957afb1c6bcc2.png
А теперь главное, вернемся к теме «Пароли, которые мы выбираем»
Стоит отдать должное LinkedIn, цифровые пароли там запрещены (не одного не было найдено). Я не стану уделять внимание слабым паролям, а обращусь сразу к сложным. Очень много паролей, основанных на преобразованных словах, например, таких, которые, я указал в правилах «мутации» слов. Встречаются пароли типа ФАМИЛИЯ-ИМЯ, длинный пароль, но, тем не менее, достаточно иметь дамб имен с того же Facebook, чтобы с легкостью находить пароли такого типа. Дублирование слов создает длинные пароли, но крайне уязвимые против атак по словарю, например: «principinoprprincipinopr» - 24 символа, недоступные для прямого брутфорса, по причине «столетий» оказывается бесполезным против атак по словарям.
Различные крылатые выражения, также используются в качестве паролей. Проблема очевидна, они могут быть в словаре, а благодаря правилам «мутации», подставляемых в хэш функцию слов, хоть 10 раз напишите «ilovecats», такой пароль будет найден.
Отношение паролей использующих символы в нижнем регистре составляет примерно 82%, остальные же 18% - это смешанные или пароли в верхнем регистре.
Я не стану утверждать, что данная статистика абсолютно точна, ведь есть ещё 6.106.379 нерасшифрованных хэшей.
Подведу итоги в виде рекомендаций:
- аксиома №1 «Не создавай пароль меньше 12 символов».
- аксиома №2 «Не создавай пароль из цифр».
- аксиома №3 «Используй в пароле буквы в верхнем и нижнем регистре, а
также цифры и символы»
- аксиома №4 «Не используй дублирующиеся слова, не важно насколько они
сложны по отдельности».
- аксиома №5 «Не изменяй реальное слово, используя замены, дабы
превратить его в сложное, но читаемое»
- аксиома №6 последняя «Если ты с трудом запомнил свой пароль, или без
записи его, где-либо тебе не обойтись, знай это стойкий пароль!»
Спасибо всем за внимание, прошу простить за несколько художественный стиль повествования. Первая статья комом
P.S исходник моей статьи находится тут:
ТУТ (http://www.securitylab.ru/blog/personal/Cyberwarrior_blog/22905.php)
Доброго времени суток всем, кто интересуется информационной безопасностью или небезопасностью. Совсем недавно из социально-профессиональной сети LinkedIn были украдены реквизиты 6.143.150 аккаунтов и, конечно же, хэши паролей этих аккаунтов были выложены в сеть.
Мне уже давно хотелось провести небольшое исследование на тему безопасности паролей, но под руку не попадалось дампов хэшей с серьезных ресурсов. И вот момент настал. Я буду краток…
Мной была проведена атака по словарю…
Полный перебор я специально не использовал, так как теряется смысл изыскания, а наша задача – понять, как пользователи «выдумывают» себе пароли.
Итак, что имелось в наличии:
- словарь 580.738.891 уникальных слов (реальные слова
различных народов мира, дампы паролей, а также комбинации часто встречающихся фраз).
- программа брутфорсер oclHashcat-plus
- дамп хэшей(SHA1) с LinkedIn
Пароли находились как прямым сравнением со словарем, так и применением к этому словарю самых распространенных правил.
- «мутирование» регистров символов в слове (password - >
PaSSwoRd)
- дублирование символовслова, инверсия слова, вращение
(password - > passwordpasswordpassword)
- добавление спец. символов в начало и конец (password - >
password2012)
- замена символов на символы схожие в написании (password - >
p@$$word)
- и многие другие.
Итого было найдено 36771 из 6.143.150 паролей. Примечательно то, что поиск дублей в дамбе показал лишь 146265 хэшей, это крайне меня удивило. Число найденных паролей не так велико, но присмотримся к результатам.
len: 6 count:179
len: 7 count:967
len: 8 count:13153 - фаворит 8 символьный пароль.
len: 9 count:5544 - второе, просадка по кол-ву больше чем в два раза
len: 10 count:4961
len: 11 count:4383
len: 12 count:3264
len: 13 count:1926
len: 14 count:1124
len: 15 count:513
len: 16 count:689
len: 17 count:24
len: 18 count:24
len: 19 count:7
len: 20 count:5
len: 21 count:2
len: 22 count:2
len: 24 count:2
len: 26 count:2 - встречались и такие особи.
диаграмма распределения длин паролей:
http://www.securitylab.ru/upload/resize_cache/blog/c58/600_600_1/c58ef93f2ef13cf6c8a957afb1c6bcc2.png
А теперь главное, вернемся к теме «Пароли, которые мы выбираем»
Стоит отдать должное LinkedIn, цифровые пароли там запрещены (не одного не было найдено). Я не стану уделять внимание слабым паролям, а обращусь сразу к сложным. Очень много паролей, основанных на преобразованных словах, например, таких, которые, я указал в правилах «мутации» слов. Встречаются пароли типа ФАМИЛИЯ-ИМЯ, длинный пароль, но, тем не менее, достаточно иметь дамб имен с того же Facebook, чтобы с легкостью находить пароли такого типа. Дублирование слов создает длинные пароли, но крайне уязвимые против атак по словарю, например: «principinoprprincipinopr» - 24 символа, недоступные для прямого брутфорса, по причине «столетий» оказывается бесполезным против атак по словарям.
Различные крылатые выражения, также используются в качестве паролей. Проблема очевидна, они могут быть в словаре, а благодаря правилам «мутации», подставляемых в хэш функцию слов, хоть 10 раз напишите «ilovecats», такой пароль будет найден.
Отношение паролей использующих символы в нижнем регистре составляет примерно 82%, остальные же 18% - это смешанные или пароли в верхнем регистре.
Я не стану утверждать, что данная статистика абсолютно точна, ведь есть ещё 6.106.379 нерасшифрованных хэшей.
Подведу итоги в виде рекомендаций:
- аксиома №1 «Не создавай пароль меньше 12 символов».
- аксиома №2 «Не создавай пароль из цифр».
- аксиома №3 «Используй в пароле буквы в верхнем и нижнем регистре, а
также цифры и символы»
- аксиома №4 «Не используй дублирующиеся слова, не важно насколько они
сложны по отдельности».
- аксиома №5 «Не изменяй реальное слово, используя замены, дабы
превратить его в сложное, но читаемое»
- аксиома №6 последняя «Если ты с трудом запомнил свой пароль, или без
записи его, где-либо тебе не обойтись, знай это стойкий пароль!»
Спасибо всем за внимание, прошу простить за несколько художественный стиль повествования. Первая статья комом
P.S исходник моей статьи находится тут:
ТУТ (http://www.securitylab.ru/blog/personal/Cyberwarrior_blog/22905.php)