Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
|
Иногда действительно никому. 31.05.03 07:50 Число просмотров: 2280
Автор: J'JF <Dmytro Volhushyn> Статус: Elderman
Отредактировано 31.05.03 07:54 Количество правок: 1
|
> Объясните тупому инопланетянину, разве трудно приду мать
> пароль, который нельзя подобрать?
> Например, если в пароле могут быть от 4 до 20 цифр,
> латинских и русских букв с различением регистра,
> ".","_","-" какой переборщик с этим справится?
Придумать нетрудно, конечно! Труднее запомнить его. А если он не один такой? Если почтовых ящиков - 20 и надо к каждому хороший пароль? Сколько людей будет этим заниматься? Немного. Большинство же придумает достаточно простой пароль, состоящий, как правило, из латинских букв и, иногда, цифр. И хорошо еще, если на каждый ящик - разный, однако, моя практика показывает, что зачастую и пароль один и тот же на все ресурсы (ну максимиум - 3 разных пароля имеется). Вот именно на это подавляющее большинство брутфорсы и рассчитаны.
> Или при широкополосном доступе и мощном компьютере возможен
> брутафорс такой комбинации в приемлемы для землян сроки?
Тут все зависит еще и от алгоритмов перебора и шифрования...
Возьмем, к примеру, архиваторы. ZIP и RAR.
Скорость перебора ZIP на моей машине - порядка 5.000.000 вар/сек. Скорость перебора RAR - порядка 3.000 вар/сек. О чем это говорит - о том, что если сложный пароль на ZIP еще можно надеяться сломать за обозримый промежуток времени, то на подбор сложного пароля на RAR уйдут сотни или тысячи лет... мрак...
то же самое и с web-сервисами... Скорость перебора будет гораздо меньше локальной для архивов. Плюс серьезные системы авторизации снижают скорость выдачи результата после нескольких неудачных попыток. Так что каким бы широким ни был доступ в Сеть - хороший, толстый, жирный пароль подобрать не удастся. К тому же наш широкий доступ в сетку еще не гарантирует того, что у ломаемой системы как минимум такой же по ширине канал. Он может быть и уже гораздо...
Короче, имхо, брутфорсы имеют смысл в подавляющем большинсве случаев. Однако, если мы столкнемся с грамотно составленным паролем, цель которого была не защита от соседского кота :)), а защита серьезных вещей от серьезных людей, то тут брутфорс пролетатет. Адназначна!
|
|
<hacking>
|
Кому нужен брутус и прочие переборщики паролей? 31.05.03 02:37
Автор: ALF Статус: Незарегистрированный пользователь
|
Уважаемые сэры!
Объясните тупому инопланетянину, разве трудно приду мать пароль, который нельзя подобрать?
Например, если в пароле могут быть от 4 до 20 цифр, латинских и русских букв с различением регистра, ".","_","-" какой переборщик с этим справится?
Или при широкополосном доступе и мощном компьютере возможен брутафорс такой комбинации в приемлемы для землян сроки?
|
|
Иногда действительно никому. 31.05.03 07:50
Автор: J'JF <Dmytro Volhushyn> Статус: Elderman
Отредактировано 31.05.03 07:54 Количество правок: 1
|
> Объясните тупому инопланетянину, разве трудно приду мать
> пароль, который нельзя подобрать?
> Например, если в пароле могут быть от 4 до 20 цифр,
> латинских и русских букв с различением регистра,
> ".","_","-" какой переборщик с этим справится?
Придумать нетрудно, конечно! Труднее запомнить его. А если он не один такой? Если почтовых ящиков - 20 и надо к каждому хороший пароль? Сколько людей будет этим заниматься? Немного. Большинство же придумает достаточно простой пароль, состоящий, как правило, из латинских букв и, иногда, цифр. И хорошо еще, если на каждый ящик - разный, однако, моя практика показывает, что зачастую и пароль один и тот же на все ресурсы (ну максимиум - 3 разных пароля имеется). Вот именно на это подавляющее большинство брутфорсы и рассчитаны.
> Или при широкополосном доступе и мощном компьютере возможен
> брутафорс такой комбинации в приемлемы для землян сроки?
Тут все зависит еще и от алгоритмов перебора и шифрования...
Возьмем, к примеру, архиваторы. ZIP и RAR.
Скорость перебора ZIP на моей машине - порядка 5.000.000 вар/сек. Скорость перебора RAR - порядка 3.000 вар/сек. О чем это говорит - о том, что если сложный пароль на ZIP еще можно надеяться сломать за обозримый промежуток времени, то на подбор сложного пароля на RAR уйдут сотни или тысячи лет... мрак...
то же самое и с web-сервисами... Скорость перебора будет гораздо меньше локальной для архивов. Плюс серьезные системы авторизации снижают скорость выдачи результата после нескольких неудачных попыток. Так что каким бы широким ни был доступ в Сеть - хороший, толстый, жирный пароль подобрать не удастся. К тому же наш широкий доступ в сетку еще не гарантирует того, что у ломаемой системы как минимум такой же по ширине канал. Он может быть и уже гораздо...
Короче, имхо, брутфорсы имеют смысл в подавляющем большинсве случаев. Однако, если мы столкнемся с грамотно составленным паролем, цель которого была не защита от соседского кота :)), а защита серьезных вещей от серьезных людей, то тут брутфорс пролетатет. Адназначна!
|
| |
А какой длины должен быть пароль на веб-почте, чтобы его не подобрали? 31.05.03 19:36
Автор: ALF Статус: Незарегистрированный пользователь
|
|
Кстати, словарный пароль легко перевести в не словарный, смешав русские и латинские буквы или допустив грамматическую ошибку.
|
| | |
Пароли на веб почту брутфорсом не подбирают 31.05.03 20:49
Автор: amirul <Serge> Статус: The Elderman
|
|
По крайней мере легче воспользоваться соц инженерией или подослать жертве трояна
|
| | | |
А если у жертвы есть Касперский? 31.05.03 21:50
Автор: ALF Статус: Незарегистрированный пользователь
|
Социальная инженерия - это когда в техпомощь жалостные письма пишут?
Неужели срабатывает?
|
| | | | |
А если у жертвы есть Касперский? 12.06.03 02:37
Автор: Ilich Статус: Незарегистрированный пользователь
|
> Социальная инженерия - это когда в техпомощь жалостные
> письма пишут?
> Неужели срабатывает?
Знаешь, чувак, я тебя не понимаю ! какл\ой ты нахрен хакер, если обычного трояна зашкодить на можешь !!!!! Нормальные люди пишут трояны сами, и поэтом никакой Камперский на них не действует !!!
|
| | | | |
У меня срабатывало 01.06.03 13:03
Автор: J'JF <Dmytro Volhushyn> Статус: Elderman
|
> Социальная инженерия - это когда в техпомощь жалостные
> письма пишут?
> Неужели срабатывает?
Я уже несколько раз получал пароли на чужие почтовые ящики от службы техподдержки Mail.ru. Там до обалдения просто все надо делать.
Во-первых, нужно достаточно убедительно объяснить причину, по которой не помнишь пароля и регистрационных данных. Например, пьяный был, огда регистрировался. Не смейтесь - именно так я и пишу обычно.
Во-вторых, вываливаешь суппорту всю инфу о челе, ящик которого нужно поиметь. Естественно, прикидываясь, что я - это он. Например, написать дату рождения, где живу, чем занимаюсь, что люблю, какая у меня семья, как у меня периодически гаснет экран или вылетает синенькое окошечко... Т.е. составить обыкновенное человеческое письмо, чтобы саппорт, прочитав его, не усомнился в том, что его написал обыкновенный ламер, который просто по причине неопытности посеял пароль, который ему очень нужен.
В-третьих, нужно толково объяснить, нафига тебе потребовался пароль. Самый простой вариант - жду письмо...
Так что совет дам - не держите серьезных и важный ящиков на Mail.ru - пароль на них очень леко узнается. Конечно, не всегда срабатывает этот способ, но все же.
А представьте себе бедного саппорта, у которого 3 лимона юзверей, пару тысяч из которых ежедневно забывают пароли! Он что, будет сильно разбираться - правда там или нет в письме? будет проводить анализ психологический? посмотрит, нормальная ли там инфа указана? да нифига! Ему проще в 100 раз выслать вам этот пароль - а дальше хоть трава не расти!
|
| | | | | |
Ну а я раз увел ящик 01.06.03 14:22
Автор: amirul <Serge> Статус: The Elderman
|
Когда чел в вопросе, для "службы борьбы с амнезией" указал вопрос из списка стандартных: "Ваш рост". И ни за что не догадаетесь какой был ответ: "180" :-)
Мдя. Ну в общем то у меня его потом отобрали назад и я не стал воевать дальше. Я его просто наказал за грубость, а свой ящик мне все равно нравится больше
|
| | | | |
Не только в тех помощь 31.05.03 22:11
Автор: amirul <Serge> Статус: The Elderman
|
> Социальная инженерия - это когда в техпомощь жалостные
> письма пишут?
> Неужели срабатывает?
Ты даже не представляешь сколько людей уже откликнулось на объявление типа "Чтоб аккаунт не был удален пришлити подтверждение с логином и паролем сюды" или "В связи с упавшей базой..." и т.д. И сколько еще откликнутся
Есть подбор пароля по данным о человеке. Почти любой вебмейл имеет службу восстановления пароля, где надо задать инфу о себе и тебе дадут сменить пароль. Можно эту инфу узнать из переписки
Создание сайта и просьба зарегистриться на нем. С указанием почты и какого нить пароля (конечно же имеется в виду пароль только для этого сайта). Больше половины юзеров вводят тот же пароль, что и на мыле.
Ну и т.д. Человеческая глупость безгранична. Так что способов обдурить человека по определению бесконечно много.
|
| | | | | |
Я бы на такие фокусы не купился 01.06.03 00:37
Автор: ALF Статус: Незарегистрированный пользователь
|
Кстати, пароль можно придумать в виде целой фразы, можно взять из книги - подобрать невозможно, запомнить легко (или пометить место в книге,чтоб не забыть).
|
| | | | | | |
Я бы тоже 01.06.03 11:35
Автор: amirul <Serge> Статус: The Elderman
|
А при регистрации где-нить, что для меня не существенно я вообще ввожу или одинаковый логин пароль или пароль 1qw23er4 - быстро набирается проходит большинство тестов на устойчивость и не нужно запоминать
> Кстати, пароль можно придумать в виде целой фразы, можно
> взять из книги - подобрать невозможно, запомнить легко (или
> пометить место в книге,чтоб не забыть).
А также можно просто поставить менеджер паролей. Или сделать ретрив на все пароли, которые есть и хранить их в Бате. Есть много способов. Но еще больше людей, которые этого или не знают или не хотят этого делать. В частности только лень кулхацкера, наверное, спасла меня - стрелянного воробья в этих вопросах - от потери всех моих мыл и асек.
|
|
|
подробно о проекте
Анализ криптографических сетевых...
