информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Портрет посетителяВсе любят медSpanning Tree Protocol: недокументированное применение
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Блокировка российских аккаунтов... 
 Отзыв сертификатов ЦБ РФ, ПСБ,... 
 Памятка мирным людям во время информационной... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / hacking
Имя Пароль
ФОРУМ
все доски
FAQ
IRC
новые сообщения
site updates
guestbook
beginners
sysadmin
programming
operating systems
theory
web building
software
hardware
networking
law
hacking
gadgets
job
dnet
humor
miscellaneous
scrap
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Рад, что хоть чем-то... 16.11.07 10:21  Число просмотров: 3683
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 16.11.07 10:33  Количество правок: 3
<"чистая" ссылка>
> Спасибо!!

Рад, что хоть чем-то...

> Его словари очень похожи на обэчные словари, не парольные.
> Например, там нет "qwerty" и пр. Там совсем нет акронимов
> типа "pwd4r00t".... На openwall, кажется, нашел неплохой
> именно парольный словарь Solar Designer'a, но там всего
> чуть больше 3000 слов... Успеха он не дал....

Идеальных словарей нет.

> По пользователям я искал словарь типа:
>
> alexey
> alexey.k
> alexeyn
> sasha
> admin
> root
> guest
> anonymous
> .....
>
> По крайней мере русские имена в транслитерации + по букве в
> конце и начале... Пока не придумал ничего лучше как искать
> имена персонала компании в инете и на их сайте и составлять
> свой словарь для данной компании.... Муторно...
>
> Не уверен... В одной знакомой компании, например, приняты
> логины типа <name>.<second
> name>@<department> -- в качестве пароля эту шнягу
> применять тяжко, учитывая, что каждые 3 месяца пароли все
> обязаны менять.

А, вот, на это не мог не ответить.
Понятно, что все комбинации перебрать тяжело, а слов в словаре всего несколько тысяч.
Хитроумные же пользователи стараются использовать не словарные пароли. Но, всем понятно, что полную абракадабру использовать в качестве пароля сложно, а, ведь, пароль должен быть и удобным, его же набирать постоянно и не с бумажки а по памяти. Как сочетать эти требования? Очень просто, нужно комбинировать, использовав склейку словарных слов, транслитерацию и пр.
Согласитесь, раздуть словарь в два раза, заменив прописные буквы строчными, а затем еще в два раза, использовав транслитерацию, а затем все это еще в два раза, применив замену раскладки клавиатуры совсем бессмыслено.
Во сколько раз раздуется словарь, если использовать склейку слов? - возведем полученое количество слов во вторую степень. Во сколько раз раздуется словарь, если к именам добавим букву отчества через точку, или подчеркивание, или через другой символ. На сотню еще помножим. Посчитайте пожалуста размер словаря, который вы хотите получить в чистом виде! Зачем это делать, если та же самая LCP это делает в процессе работы? Это я все к "alexeyk" и "aleksey.n", а так же к <name>.<second_name>.
Что касается "qwerty" и "pwd4r00t". Вы словарь имен просили. Я ж говорил про подмножества. "qwerty" в качестве пароля - да, в качестве имени - ??? Использует ли простой пользователь или даже суперпродвинутый в пароле замену "О" нулем или "Ч" четверкой? В конце концов в транслитерации можно прописать любое соответствие, и "Ч"="4", и "Ч"="ch".
В любом случае (Я САМ ПРОВЕРЯЛ) более 99% легких паролей LCP находит быстро по словарю, а это порой более 90% от всей массы паролей, что увы плачевно. Остальные же либо "zxc", либо словарное, но выходит за пределы того словаря, а это 1% того, что должно быть, но нет, либо 10%, которые, к счастью вряд ли когда либо попадут в словарь из-за своей индивидуальности типа "автомотовелофоторадиолюбитель".
Так что воспользовавшись словарем для проверки наличия логина в словаре вам будет вполне достаточно любого трехтысячного словаря плюс несколько функций замены/склейки при проверки в проверяющей программе для 99% уверенности в том, удовлетворит ли оно вашим треования или нет.
А вообще-то не ориентируйтесь на логин, лучше чтоб пароль был стоек, а еще лучше применять функции цифровой подписи или хотя бы шифрования, хранив ключик на соответствующем носителе.
<hacking> Поиск 






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2022 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach