информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Где водятся OGRыПортрет посетителяСтрашный баг в Windows
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / hacking
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Маленькое добавление к сообщ. от RHoST, что до пасвордлиста - я тоже не знаю где такой huge взять. 24.11.01 06:57  Число просмотров: 1125
Автор: Korsh Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> ко всему перечисленному хотельсь бы добавить вот что :
> когда пользователя заставляют вводить 9 и более пароль со
> спецсимволами, и имеют за то что он его на мониторе или на
> бумаге записал, я заметил что многие люди "выстукивают" на
> клаве геометрические фигуры. Алгоритм для "рисования"
> кружков, треугольников, стрелочек и т.п. в зависимости от
> предполагаемой длины пароля написать можно, но будет ли
> толк ?, я не проверял.
Да такие алгоритмы есть.
Я замечал пассворды такие: qwsazx--прямоугольник ещё один
asdcxz
<hacking>
нужен "wordlist" , но хитрый 22.11.01 13:29  
Автор: paganoid Статус: Member
<"чистая" ссылка>
Хочется поиметь некий wordlist. А точнее, password-list , взятый из какой-нибудь РЕАЛЬНОЙ большой системы. Просто хочу написать генератор вордлиста на основе существующего, хочу посмотреть правила, которыми обычно руководствуются при выборе пароля...
нужен "wordlist" , но хитрый 22.11.01 14:02  
Автор: Rook <Alex Sergeev> Статус: Member
<"чистая" ссылка>
> Хочется поиметь некий wordlist. А точнее, password-list ,
> взятый из какой-нибудь РЕАЛЬНОЙ большой системы. Просто
> хочу написать генератор вордлиста на основе существующего,
> хочу посмотреть правила, которыми обычно руководствуются
> при выборе пароля...

это не вордлист - это социальна инженерия - т.е. в качестве паролей исползуются следующие слова:

1. в системах, где пароль задается пользователем (причем с условием, что это не свихнувшийся от ананизма ламер/хакер/админ, а обычный среднестатистический пользователь).
русские/английские символы:

[месяц][произвольный номер].
[человеческие имена][произвольный номер: год рождения, месяц р., текущий месяц, текущий год][love][имя человека][кличка животного][название еды][марка автомобиля].
[имена].
[клички животных].
[god,love,sex]. :)
[название города,страны].

и так далее, то есть все с чем человек соприкасается в повседневной жизни.

2. в системах, где пароль генерируется админом:
[имя пользователя][номер][ресурс].
[произвольный набор символов a-z,A-Z,0-9,а-я,А-Я]
нужен "wordlist" , но хитрый 22.11.01 14:13  
Автор: paganoid Статус: Member
Отредактировано 22.11.01 14:15  Количество правок: 1
<"чистая" ссылка>
> это не вордлист - это социальна инженерия - т.е. в качестве
> паролей исползуются следующие слова:
>
> 1. в системах, где пароль задается пользователем (причем с
> условием, что это не свихнувшийся от ананизма
> ламер/хакер/админ, а обычный среднестатистический
> пользователь).
> русские/английские символы:
>
> [месяц][произвольный номер].
> [человеческие имена][произвольный номер: год рождения,
> месяц р., текущий месяц, текущий год][love][имя
> человека][кличка животного][название еды][марка
> автомобиля].
> [имена].
> [клички животных].
> [god,love,sex]. :)
> [название города,страны].
>
> и так далее, то есть все с чем человек соприкасается в
> повседневной жизни.

интересует не совсем это. Это все понятно. Интересуют правила составляения пароля на основе заданного слова.

Т.е. есть слово WORD, допустим.

Из него разные юзеры генерят пароли по следующим правилам

word
wordword
Word
drow
word1
1word1
цщкв
ЦЩКВ
ворд
djhl

и так далее...
вобщем хочу посмотреть на реальные пароли и вычленить основные правила, коими руководствуются при составлении.. нужны не [слова][клички] и т.п. , а именно правила.. В Lopht Crack была подобная штука, но там ограниченный набор правил и к русскому языку они неприменимы.
нужен "wordlist" , но хитрый 24.11.01 06:54  
Автор: Korsh Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> и так далее...
> вобщем хочу посмотреть на реальные пароли и вычленить
> основные правила, коими руководствуются при составлении..
> нужны не [слова][клички] и т.п. , а именно правила.. В
> Lopht Crack была подобная штука, но там ограниченный набор
> правил и к русскому языку они неприменимы.
У меня в сети около 60 юзверей могу выслать их пасворды
тогда извини, не знаю 22.11.01 15:21  
Автор: Rook <Alex Sergeev> Статус: Member
<"чистая" ссылка>
:( 22.11.01 15:48  
Автор: paganoid Статус: Member
<"чистая" ссылка>
Попытка сформировать правила :) 23.11.01 00:41  
Автор: RHoST Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Тебе нужно просто самому немного подумать над этими правилами.
Все очень просто. Любой существующий ворд-лист это результат работы программ(за редким исключением). Твой вордлист должен соответствовать конктретной задаче.
Например, пусть тебе известно, что пароль не больше восьми символов (это бывает очень часто так как людям тяжело помнить несвязанные наборы больше 7 обьектов - особенность психики). Естественно что законы формирования слов для русских пользователей будут отличаться от паролей забугорных :)
Еще одна особенность: словарь нормального человека для повседневного общения содержит не более 2000-3000 слов. Словарь продвинутого юзера добавялет еще 500-600 слов. Академики юзают до 10000 слов.
Это первые ориентиры.
Итак, пусть у тебя есть базовый набор из 10000 наиболее употребляемых слов (русские слова набранные английскими буквами например).
Программа преобразования русских слов в транслит не должна вызвать проблем ;)
Далее... самые известные правила
Алгоритм.
Берем слово . пробуем, добавляем к нему последовательность цифр
(наборы близких по смыслу цифр 123, 321, 234, 432 и так далее, т.е расположенные или связанные между собой рядом чисел), далее пробуются наиболее типичные цифры 2000, 2001, наиболее типичные года рождения для предполагаемого пользователя 1976, 1977, 78... 80...до 1985 года(если возраст не меньше 14-15 лет).
Далее пробуются типичные комбинации близких наборов букв на кавиатуре
asd,asdfgh,qwert,poi,zxc, здесь надо заметить что люди тяготеют к буквам левой части клавиатуры, поэтому комбинации из букв qazwsxedcrfvtgb встречаются чаще (это мое личное наблюдение).

Обязательно надо попробовать слово наоборот, это один из способов "якобы" запутать потенциального взломщика.
Итак, основная идея состоит в том что ты играешь паролем формируя его так чтобы его составными частями были ОСМЫСЛЕННЫЕ КУСКИ текста (или его же но перевернутого),
например: LENA2001 (длина меньше 6 символов, осмысленный текст, разной высоты), для имен обязательно пробуется 3 варианта Lena, LENA, lena.
дальше блоки условно связного текста : asd000, asdfgh, qwerty123
Еще нужно заметить что условно связный ЦИФРОВОЙ текст как правило равен 3 символам.: 123, 456, 321, Т.е если цифровая связка входит в текст то наиболее вероятно это 3 символьная связка или 1 символьная (редко 2).
В программе это будет выглядеть как последовательность перебора (сначала 3-х, потом 1, потом 2-х : Lena123, LENA123, lena123, Lena1,....Lena78,Lena80,Lena2000)
Надеюсь это понятно.
Идея 2.
Используем особенность мозга к набору СМЫСЛОВЫХ созвучий (как правило перебора), т.е
Смысловое созвучие: последовательность символов связанных между собой наиболее частым употреблением в словах. О чем это Я? Вот например если присматриваться к тому как люди печатают, то можно заметить что некоторые сочленения букв печатаются БЫСТРЕЕ чем другие, это говорит о наиболее частом употреблении их в печатной речи. Этот метод чем-то похож на частотный анализ для распознания Языка.
для русского языка их можно найти методом составления таблиц. Алгоритм будет как начальный в Хафмане, пробегаем текст и определяем наиболее часто встречающиеся символы, потом вторые по встречаемости, потом третьи, а потом находим те которые наиболее часто оказываются рядом в тексте. Получим что-то вроде "то, про, ло, от, тор, ее.. " и так далее.
Следующий шаг из этих связок состовялется новый ворд-лист СВЯЗОК. следующим образом
берем связку, находим ее в обычном Вордлисте как начало слова, и начинаем подыскивать среди существующих связок такую чтобы она являлась продожением этого слова и так далее.Если слово составилось из 60% связок и 40 процентов "левых" букв, то запоминаем составляющие его связки как ПОДХОДЯЩИЕ.
Это дает нам вордлист НАИБОЛЕЕ ЧАСТО УПОТРЕБЛЯЕМЫХ на первый взгляд бессмысленных наборов связок. Самое интересное что именно из комбинаций этих связок и строятся пароли, какими бы случайными не казались бы они нам.

И последнее правило, если в пробу идет слово .то можно попробовать "усложнить" его так WoRdLiSt, WordlisT, wORDLISt.Но этот прием трудно реализуем. так как зависимости в чередовании букв я не заметил (единственно что точно, она отличается некоторой Цикличностью или закономерностью, как и все остальное что делает человек).

ЗЫ: Все что я здесь написал, является исключительно моими наблюдениями, и не претендует на абсолютную истину. Кое-что я проверял сам, кое-что является лишь теоретическими доводами. Здоровую критику прошу на rhost@pisem.net
Маленькое добавление к сообщ. от RHoST, что до пасвордлиста - я тоже не знаю где такой huge взять. 23.11.01 02:41  
Автор: babay <Andrey Babkin> Статус: Elderman
<"чистая" ссылка>
ко всему перечисленному хотельсь бы добавить вот что :
когда пользователя заставляют вводить 9 и более пароль со спецсимволами, и имеют за то что он его на мониторе или на бумаге записал, я заметил что многие люди "выстукивают" на клаве геометрические фигуры. Алгоритм для "рисования" кружков, треугольников, стрелочек и т.п. в зависимости от предполагаемой длины пароля написать можно, но будет ли толк ?, я не проверял.
Маленькое добавление к сообщ. от RHoST, что до пасвордлиста - я тоже не знаю где такой huge взять. 24.11.01 06:57  
Автор: Korsh Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> ко всему перечисленному хотельсь бы добавить вот что :
> когда пользователя заставляют вводить 9 и более пароль со
> спецсимволами, и имеют за то что он его на мониторе или на
> бумаге записал, я заметил что многие люди "выстукивают" на
> клаве геометрические фигуры. Алгоритм для "рисования"
> кружков, треугольников, стрелочек и т.п. в зависимости от
> предполагаемой длины пароля написать можно, но будет ли
> толк ?, я не проверял.
Да такие алгоритмы есть.
Я замечал пассворды такие: qwsazx--прямоугольник ещё один
asdcxz
спасибо :) 23.11.01 10:55  
Автор: paganoid Статус: Member
<"чистая" ссылка>
здорово все подытожили , пасибо.

"цели ясны, задачи расставлены, за работу товарищи!" © Н.С. Хрущев

на досуге займуссьь....
спасибо :) 23.11.01 13:18  
Автор: OverKill <::.0v3rK1LL.::> Статус: Member
<"чистая" ссылка>
> здорово все подытожили , пасибо.
>
> "цели ясны, задачи расставлены, за работу товарищи!" © Н.С.
> Хрущев
>
> на досуге займуссьь....

Держи Борду в курсе...
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach