Пароли, любимые пользователями Icq,mail,blogов
 

Паршивые овцы в стаде паролей

Что-то пробило меня на креативные названия. В этой статейке поговорим о классе паролей «АЛГОРИТМИЧЕСКИ ГЕНЕРИРУЕМЫЕ». Причем не обо всех, а о популярных.
К алгоритмически генерируемым паролям в нашем случае относятся все те, вордлист из которых можно сгенерить куском программного кода, а не собрать из различного рода словарей/источников/листов. Интересны они потому, что составляют 3% от всего множества паролей, используемых простыми юзверями каждый день. А еще вордлист из таких паролей (на пару сотен мегов или даже несколько гигов) может быть легко сгенерен программой/скриптом из нескольких десятков строк кода.
Мне, например, не составило труда пару лет назад написать несколько однотипных генераторов вордлистов такого типа на Паскале. Код убогий, язык программирования уже почти мертв, но продукт получился весьма полезным (архив с генераторами и исходниками: http://devton.narod.ru/wordlist_gen.zip). Программка генерит вордлисты из паролей вида ASZXSWE, RFDCSERDC, GHUYTGFV, JKMNBG – т.е. расположенных близко на клавиатуре. Вторая прога из этого архива делает по-сути тоЖе, но генерит пароли из рядом стоящих цифр (14578,45695, и т.п.). Проги в свое время получились, как мне казалось, откровенно ламерскими. Поэтому я до сентября не выкладывал их широкой общественности, а периодически и с переменным успехом использовал для мелких взломов (за 2 года мне поддались 2 раровских архива с фотографиями и несколько SAM-ов).
Выложить в паблик эти проги меня побудило вот что: летом от нечего делать я проверял на практике распространенность различного рода паролей. Делалось это с широкого институтского канала (затрояненные компы под управлением ХРюши), домашних компов троих добровольцев. Продолжалось около недели. За этот период мы пытались подобрать пароль к 120.000 девятизначных ICQ-юинов. На каждый юин пришлось в среднем по 300 попыток подбора пароля. Большая часть паролей – сгенеренные моими прогами. Предпочтение отдавалось цифровым паролям.

Недельный тест дал почву для размышлений и бесценную статистику:
-из 120.000 вскрылось 936
-из вскрытых 18 оказались откровенно ламерскими (типа Natasha, 1111, итп)
-918 из вскрытых принадлежали к АЛГОРИТМИЧЕСКИ ГЕНЕРИРУЕМЫМ
-0,765% всех уинов вскрылись (!при среднем количестве попыток на уин 300)

А это значит вот что: в реальности процент АЛГОРИТМИЧЕСКИ ГЕНЕРИРУЕМЫХ паролей может быть близок к 3% (или даже больше!) от общего количества. Я проверил это на практике на примере Аси. Я уверен, что эта закономерность распространяется и на прочие сервисы типа ЛЖ, майлов, итп – все те, где пользователь сам волен выбирать пароль.

Теперь, когда у тебя есть эта бесценная :) инфа, !!готовый софт, жирный интернет-канал – подумай какие возможности в области хака ты обрел.

P.S. изначально опубликовано 23.10.2007 (http://denied-root.org/forum/showthread.php?p=566) Devton

прЫкольная статейка =)) правда на одних только паролях с таким процентом успешности вскрытия - далеко не уедешь ;) но ++ заслужил

На статью не тянет, просто аналитика.
PS. самый крутой пароль qwerty

Хай, эвриван. даже если не тянет на статейку, наблюдение полезное. Я на практике проверил популярность qwerty-подобных паролей.
цЫфра в 3-4% от общего количества означает, что масс-брут на такие пароли - эффективный способ сбора аккаунтов.

Я уже нашел круче (к админке) - QWERTY321 :)

Мда. Как нашел? Ручками и мозгом али прогу типа моей юзал?

Ну так ктоНить уже пробовал применять прграмму наПрактике?
с такими вордлистами можно ж и архивы и самы локально брутить. Ивсякие онлайн- аккаунты типа мыла/аси/блогов ламать

я лично кучу навскрывал ( читай выше :) )

неужто ниукаго не палучилось??

П.с. может я хренова в тектсе выделил НО там есть сцыла на готовую прогу

http://devton.narod.ru/wordlist_gen.zip

Ламеры еще очень часто используют Q1w2e3r4 и т.д.

еще может быть qqqq

насчет Q1w2e3r4 и прочих подобных паролей...
именно любовь ламерков к подобным легковбиваемым и запоминаемым паролям и побудила меня написать прогу wordlist_gen :)

Ламеры - есть ламеры))

+

ничему не научился. скачал какую-то программу. тс, объясните пжалста, какого хера тред делает в статьях? ну хотя.. канал у мну вроде ниче =-\ ща нагенерим паролей и бум всех хекать! ога.

Всю жизнь такие ставлю... ;) ламер... хули.

/me покраснел

ставить пароли типа Wh4tD4F4Ck

а реаьно, пароли типа admin,mypass и т.п. - преобладаают у обычных юзеров.))

123456 рулит)))
девяток для спама/флуда можно приличное количество набрутить

хз. как у вас, ну у меня при бруте дедиков и проксиков чаще всего ловятся на пароль 1234, admin. ;)

я уже кдето читал подобное но +1

мда...а попробуйте вбить диапозон чисел с 76-97 годы. обычно ставять свой день рождения или какую нить дату. у многих знакомых пасс стоит собственная днюха...

Насчет денюх совершенно верно. Я уже 3! аккаунта виртуальных знакомых вскрыл на пароль-дату. Счас постю со смарта, но как добирусь домой - выложу малюсенький архив с нагенеренными вордлистами-датами - штука реально из категории МастХэв

baltazar--СЛИПКНОТ РУЛИТ!!!

Самые частые пароли: секс, бог, любовь (sex, god, love) © хакеры

Isis, "WakeUp, Neo". Это у киногероев-америкосов sex god love самые любимые пароли
у техасцев sex drugs rocknroll :)

нефига не айс, поставил 123456 и вперед на брут девяток
снимается каждый сотый номер тоесть 1% точно, сам проверил за 3 дня снял 30000 девяток
ps поставьте и мне плюсик

А мне нравиться такая фишка - часто влом запоминать сложный пас - так я иногда циферку (какую то по счету)) пишу буквами - шестерка например и потом набираю на инглише itcnthrf а и смещаю все клавиши наверх влево - 85dh5y4r - офигенный способ запоминать пароли))) можно взять простое слово - Freedom и создать неподбирающийся пароль, который ты без труда восстановишь)))

не хочу показаться параноиком но на обоих компах, во всех аках у мну пароли не меньше 10 символов.
с использованием букв верхнего и нижнего регистра и спец символов. причем везде пароли у меня разные. тоесть пароль для мыла, аси, компа, ачата etc уникальны.

трудно конечно столько паролей запоминать, но запоминаю и пока не жалуюсь ((*

_http://devton.narod.ru/data.7z
в архиве - готовые файлики с датами рождения
именно на етот пароли из етого набора я уже Н-цать человек брутнул :)

для удобства пользователей, у которых нету 7zip-a есть и другой формат арфивоф:
_http://devton.narod.ru/data.rar (69 kbytes)
_http://devton.narod.ru/data.zip (363 kbytes)

пс. 7зип делает ацкие солид-архивы :)
_http://devton.narod.ru/data.7я (17 kbytes)

У Россиян:
sex, beer, girls ? :D

:) Isis, у россиян: vodka,beer, bear (накануне выбороф :D ), blya

:D

Блин я спутал мишку с пивом

Теперь, когда у тебя есть эта бесценная инфа, !!готовый софт, жирный интернет-канал – подумай какие возможности в области хака ты обрел.

концовка мне понравилась)) хых

что ни говорите, а даты всеравно рулят...

дело в том, что нужно кроме хакинга заниматься еще и психоанализом толпы гребаной. Кроме ачатовцев (нас не так уж и много), есть другие Люди, и они тоже любят побрутить диапазончики, и уж конечно, понимают о существовании ламеров_qwerty и тп... Я вот, для прикола получил БД мыл и асек линейщиков и пробил на пассворд NCsoft (компания, выпустившая линейку), вскрыл 1.5%, посоветовался с сестрой (на психолога учится) и на пасс "/gmlist" вскрыл 3.5%. Тут же когда применяешь СИ становится намного интереснее. ;)