> Социальная инженерия - это когда в техпомощь жалостные > письма пишут? > Неужели срабатывает?
Знаешь, чувак, я тебя не понимаю ! какл\ой ты нахрен хакер, если обычного трояна зашкодить на можешь !!!!! Нормальные люди пишут трояны сами, и поэтом никакой Камперский на них не действует !!!
Объясните тупому инопланетянину, разве трудно приду мать пароль, который нельзя подобрать?
Например, если в пароле могут быть от 4 до 20 цифр, латинских и русских букв с различением регистра, ".","_","-" какой переборщик с этим справится?
Или при широкополосном доступе и мощном компьютере возможен брутафорс такой комбинации в приемлемы для землян сроки?
Иногда действительно никому.31.05.03 07:50 Автор: J'JF <Dmytro Volhushyn> Статус: Elderman Отредактировано 31.05.03 07:54 Количество правок: 1
> Объясните тупому инопланетянину, разве трудно приду мать > пароль, который нельзя подобрать? > Например, если в пароле могут быть от 4 до 20 цифр, > латинских и русских букв с различением регистра, > ".","_","-" какой переборщик с этим справится?
Придумать нетрудно, конечно! Труднее запомнить его. А если он не один такой? Если почтовых ящиков - 20 и надо к каждому хороший пароль? Сколько людей будет этим заниматься? Немного. Большинство же придумает достаточно простой пароль, состоящий, как правило, из латинских букв и, иногда, цифр. И хорошо еще, если на каждый ящик - разный, однако, моя практика показывает, что зачастую и пароль один и тот же на все ресурсы (ну максимиум - 3 разных пароля имеется). Вот именно на это подавляющее большинство брутфорсы и рассчитаны.
> Или при широкополосном доступе и мощном компьютере возможен > брутафорс такой комбинации в приемлемы для землян сроки?
Тут все зависит еще и от алгоритмов перебора и шифрования...
Возьмем, к примеру, архиваторы. ZIP и RAR.
Скорость перебора ZIP на моей машине - порядка 5.000.000 вар/сек. Скорость перебора RAR - порядка 3.000 вар/сек. О чем это говорит - о том, что если сложный пароль на ZIP еще можно надеяться сломать за обозримый промежуток времени, то на подбор сложного пароля на RAR уйдут сотни или тысячи лет... мрак...
то же самое и с web-сервисами... Скорость перебора будет гораздо меньше локальной для архивов. Плюс серьезные системы авторизации снижают скорость выдачи результата после нескольких неудачных попыток. Так что каким бы широким ни был доступ в Сеть - хороший, толстый, жирный пароль подобрать не удастся. К тому же наш широкий доступ в сетку еще не гарантирует того, что у ломаемой системы как минимум такой же по ширине канал. Он может быть и уже гораздо...
Короче, имхо, брутфорсы имеют смысл в подавляющем большинсве случаев. Однако, если мы столкнемся с грамотно составленным паролем, цель которого была не защита от соседского кота :)), а защита серьезных вещей от серьезных людей, то тут брутфорс пролетатет. Адназначна!
А какой длины должен быть пароль на веб-почте, чтобы его не подобрали?31.05.03 19:36 Автор: ALF Статус: Незарегистрированный пользователь
> Социальная инженерия - это когда в техпомощь жалостные > письма пишут? > Неужели срабатывает?
Знаешь, чувак, я тебя не понимаю ! какл\ой ты нахрен хакер, если обычного трояна зашкодить на можешь !!!!! Нормальные люди пишут трояны сами, и поэтом никакой Камперский на них не действует !!!
У меня срабатывало01.06.03 13:03 Автор: J'JF <Dmytro Volhushyn> Статус: Elderman
> Социальная инженерия - это когда в техпомощь жалостные > письма пишут? > Неужели срабатывает?
Я уже несколько раз получал пароли на чужие почтовые ящики от службы техподдержки Mail.ru. Там до обалдения просто все надо делать.
Во-первых, нужно достаточно убедительно объяснить причину, по которой не помнишь пароля и регистрационных данных. Например, пьяный был, огда регистрировался. Не смейтесь - именно так я и пишу обычно.
Во-вторых, вываливаешь суппорту всю инфу о челе, ящик которого нужно поиметь. Естественно, прикидываясь, что я - это он. Например, написать дату рождения, где живу, чем занимаюсь, что люблю, какая у меня семья, как у меня периодически гаснет экран или вылетает синенькое окошечко... Т.е. составить обыкновенное человеческое письмо, чтобы саппорт, прочитав его, не усомнился в том, что его написал обыкновенный ламер, который просто по причине неопытности посеял пароль, который ему очень нужен.
В-третьих, нужно толково объяснить, нафига тебе потребовался пароль. Самый простой вариант - жду письмо...
Так что совет дам - не держите серьезных и важный ящиков на Mail.ru - пароль на них очень леко узнается. Конечно, не всегда срабатывает этот способ, но все же.
А представьте себе бедного саппорта, у которого 3 лимона юзверей, пару тысяч из которых ежедневно забывают пароли! Он что, будет сильно разбираться - правда там или нет в письме? будет проводить анализ психологический? посмотрит, нормальная ли там инфа указана? да нифига! Ему проще в 100 раз выслать вам этот пароль - а дальше хоть трава не расти!
Ну а я раз увел ящик01.06.03 14:22 Автор: amirul <Serge> Статус: The Elderman
Когда чел в вопросе, для "службы борьбы с амнезией" указал вопрос из списка стандартных: "Ваш рост". И ни за что не догадаетесь какой был ответ: "180" :-)
Мдя. Ну в общем то у меня его потом отобрали назад и я не стал воевать дальше. Я его просто наказал за грубость, а свой ящик мне все равно нравится больше
Не только в тех помощь31.05.03 22:11 Автор: amirul <Serge> Статус: The Elderman
> Социальная инженерия - это когда в техпомощь жалостные > письма пишут? > Неужели срабатывает? Ты даже не представляешь сколько людей уже откликнулось на объявление типа "Чтоб аккаунт не был удален пришлити подтверждение с логином и паролем сюды" или "В связи с упавшей базой..." и т.д. И сколько еще откликнутся
Есть подбор пароля по данным о человеке. Почти любой вебмейл имеет службу восстановления пароля, где надо задать инфу о себе и тебе дадут сменить пароль. Можно эту инфу узнать из переписки
Создание сайта и просьба зарегистриться на нем. С указанием почты и какого нить пароля (конечно же имеется в виду пароль только для этого сайта). Больше половины юзеров вводят тот же пароль, что и на мыле.
Ну и т.д. Человеческая глупость безгранична. Так что способов обдурить человека по определению бесконечно много.
Я бы на такие фокусы не купился 01.06.03 00:37 Автор: ALF Статус: Незарегистрированный пользователь
Кстати, пароль можно придумать в виде целой фразы, можно взять из книги - подобрать невозможно, запомнить легко (или пометить место в книге,чтоб не забыть).
Я бы тоже01.06.03 11:35 Автор: amirul <Serge> Статус: The Elderman
А при регистрации где-нить, что для меня не существенно я вообще ввожу или одинаковый логин пароль или пароль 1qw23er4 - быстро набирается проходит большинство тестов на устойчивость и не нужно запоминать
> Кстати, пароль можно придумать в виде целой фразы, можно > взять из книги - подобрать невозможно, запомнить легко (или > пометить место в книге,чтоб не забыть).
А также можно просто поставить менеджер паролей. Или сделать ретрив на все пароли, которые есть и хранить их в Бате. Есть много способов. Но еще больше людей, которые этого или не знают или не хотят этого делать. В частности только лень кулхацкера, наверное, спасла меня - стрелянного воробья в этих вопросах - от потери всех моих мыл и асек.
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
