|
Пароли, которые мы выбираем.
Доброго времени суток всем, кто интересуется информационной безопасностью или небезопасностью. Совсем недавно из социально-профессиональной сети LinkedIn были украдены реквизиты 6.143.150 аккаунтов и, конечно же, хэши паролей этих аккаунтов были выложены в сеть. Мне уже давно хотелось провести небольшое исследование на тему безопасности паролей, но под руку не попадалось дампов хэшей с серьезных ресурсов. И вот момент настал. Я буду краток… Мной была проведена атака по словарю… Полный перебор я специально не использовал, так как теряется смысл изыскания, а наша задача – понять, как пользователи «выдумывают» себе пароли. Итак, что имелось в наличии: - словарь 580.738.891 уникальных слов (реальные слова различных народов мира, дампы паролей, а также комбинации часто встречающихся фраз). - программа брутфорсер oclHashcat-plus - дамп хэшей(SHA1) с LinkedIn Пароли находились как прямым сравнением со словарем, так и применением к этому словарю самых распространенных правил. - «мутирование» регистров символов в слове (password - > PaSSwoRd) - дублирование символовслова, инверсия слова, вращение (password - > passwordpasswordpassword) - добавление спец. символов в начало и конец (password - > password2012) - замена символов на символы схожие в написании (password - > p@$$word) - и многие другие. Итого было найдено 36771 из 6.143.150 паролей. Примечательно то, что поиск дублей в дамбе показал лишь 146265 хэшей, это крайне меня удивило. Число найденных паролей не так велико, но присмотримся к результатам. len: 6 count:179 len: 7 count:967 len: 8 count:13153 - фаворит 8 символьный пароль. len: 9 count:5544 - второе, просадка по кол-ву больше чем в два раза len: 10 count:4961 len: 11 count:4383 len: 12 count:3264 len: 13 count:1926 len: 14 count:1124 len: 15 count:513 len: 16 count:689 len: 17 count:24 len: 18 count:24 len: 19 count:7 len: 20 count:5 len: 21 count:2 len: 22 count:2 len: 24 count:2 len: 26 count:2 - встречались и такие особи. диаграмма распределения длин паролей: http://www.securitylab.ru/upload/res...afb1c6bcc2.png А теперь главное, вернемся к теме «Пароли, которые мы выбираем» Стоит отдать должное LinkedIn, цифровые пароли там запрещены (не одного не было найдено). Я не стану уделять внимание слабым паролям, а обращусь сразу к сложным. Очень много паролей, основанных на преобразованных словах, например, таких, которые, я указал в правилах «мутации» слов. Встречаются пароли типа ФАМИЛИЯ-ИМЯ, длинный пароль, но, тем не менее, достаточно иметь дамб имен с того же Facebook, чтобы с легкостью находить пароли такого типа. Дублирование слов создает длинные пароли, но крайне уязвимые против атак по словарю, например: «principinoprprincipinopr» - 24 символа, недоступные для прямого брутфорса, по причине «столетий» оказывается бесполезным против атак по словарям. Различные крылатые выражения, также используются в качестве паролей. Проблема очевидна, они могут быть в словаре, а благодаря правилам «мутации», подставляемых в хэш функцию слов, хоть 10 раз напишите «ilovecats», такой пароль будет найден. Отношение паролей использующих символы в нижнем регистре составляет примерно 82%, остальные же 18% - это смешанные или пароли в верхнем регистре. Я не стану утверждать, что данная статистика абсолютно точна, ведь есть ещё 6.106.379 нерасшифрованных хэшей. Подведу итоги в виде рекомендаций: - аксиома №1 «Не создавай пароль меньше 12 символов». - аксиома №2 «Не создавай пароль из цифр». - аксиома №3 «Используй в пароле буквы в верхнем и нижнем регистре, а также цифры и символы» - аксиома №4 «Не используй дублирующиеся слова, не важно насколько они сложны по отдельности». - аксиома №5 «Не изменяй реальное слово, используя замены, дабы превратить его в сложное, но читаемое» - аксиома №6 последняя «Если ты с трудом запомнил свой пароль, или без записи его, где-либо тебе не обойтись, знай это стойкий пароль!» Спасибо всем за внимание, прошу простить за несколько художественный стиль повествования. Первая статья комом P.S исходник моей статьи находится тут: ТУТ |
Хорошая статья. Лично у меня на одном ресурсе стоял пароль примерно в 26 символов, который содержал простенькую и запоминающуюся фразу.
|
ТС,раз уж разговор о паролях,то у меня такой вопрос,как к знающему. Если в пароле ставить пробел(некоторые сервисы это поддержуют),то какова вероятность взлома (брута) ?
Допустим у меня пароль alex alex |
довольно высокая, никто не запрещает создать правило типа
удвоить слово из словаря, а между ним поставить символ из алфавита N |
Цитата:
|
Цитата:
|
когда то чувак предложил интересную схему
пасы всегда будут разные для всех ресов принцип такой берем пас например "SuperMegapaSS" и подставляем первую и последнюю букву ресурса для ачата будет так "aSuperMegapaSSt" так можно извращаться как хочешь) и пасы будут разные и легко запомнить |
Тут вроде не упомянули принцип выбора пароля мной
Скажем, если мне надо выбрать пароль, то беру запоминающееся мне слово. Эвакуатор, например. Очень хорошо запоминается И пишу я это слово на русском, но в англ раскладке. Т.е. получается 'dfrefnjh. Бывает еще добавляю циферки. Банальные циферки, типа года или даты рождения. Меня почему - то полностью удовлетворяют мои пароли, ибо меня еще никогда не взламывали. Мб потому, что я не такая личность, что бы каждый день подвергаться взломческим атакам, но всё же |
t3cHn0iD, и? Я смотрю вы на форуме только и делаете, что придираетесь к образно сказанным выражениям. Вашей чудной терминологии я не знаю, так что присуньте свой фэйспалм куда подальше и оставьте для местных троллей.
Очень содержательный комментарий. Браво. |
Цитата:
И присунуть - это не ко мне. |
| Время: 15:20 |