Как выбрать пароль?

Взлом и подбор паролей онлайн: пять основных способов

Существует множество способов взлома пароля. Конечно, мы предоставляем информацию о том, как взломать пароль, для ознакомления, чтобы вы имели представление о том, как работают хакеры, чем опасны простые пароли и как защитить себя от взлома.

Как можно взломать пароль логическим угадыванием

Большинство людей используют простые пароли, и именно на это делают ставку хакеры в первую очередь. Они начинают угадывать пароль, используя какие-либо исходные данные – фамилию пользователя, дату его рождения и их комбинации. Здесь не нужно долго ломать голову над тем, как узнать пароль. Если кодовое слово настолько простое, то его определят за пару минут.

К этому же методу можно отнести так называемый метод «пауков». Он заключается в использовании знаний о том, чем занимается пользователь, которого будут взламывать. Очень часто в своих паролях люди используют слова, которые связаны с их профессиональной деятельностью, названием компании. Используя интернет и специальную литературу, им удается сократить сферу поиска нужного слова и не ломать голову над тем, как можно взломать пароль.

Как защититься: не использовать словарные слова, фамилии, имена, даты рождения в своих паролях. Автоматически сгенерированный пароль с помощью нашего сайта сводит на нет попытки логического подбора слова.

Подбор паролей методом словарного перебора

Еще один распространенный вид пароля, который легко взламывается – какое-либо словарное слово. Чуть более сложный – с добавлением какой-либо цифры. Легко взламывается с помощью программы, которые используют словари из разных языков. Можно с высокой вероятностью утверждать, что уже через пару часов кодовое слово будет в руках хакера. Более того, многие сайты предлагают такой подбор паролей онлайн бесплатно.

Разновидностью этого метода является взлом паролей по таблице хешированных паролей. Проще говоря, хеш – это шифрованное значение паролей. К примеру, хеши паролей пользователей операционной системы Windows хранятся в специальном реестре. Если хакер достаточно опытен и грамотен, что смог определить хеши паролей, то в базе данных он сможет найти пароль, который соответствует этому хешу. Существуют также заранее заготовленные таблицы, которые помогают подобрать пароль по хешу еще быстрее.

Как защититься: опять же – не использовать словарные слова. Защититься от перебора паролей по хэшу можно, но достаточно сложно, и на это потребуется целая статья. Это задача уже для программистов, которые работают над созданием сайта.

Узнать пароль методом грубой силы

Как взломать любой пароль? Методом грубой силы, или полным перебором комбинаций символов. В отличие от словарного перебора, здесь используется максимально возможное количество комбинаций, и вопрос времени взлома здесь заключается только в длине и сложности пароля. К примеру, если программа перебора комбинаций генерирует 100000 паролей в секунду, то на подбор комбинации из 7 символов у нее уйдет 9 дней, из 8 – 11 месяцев, из 9 – 32 года и так далее.

Как защититься: не использовать пароли, длина которых составляет менее 8 символов, пароль любой сложности и размера можно сгенерировать на нашем сайте.

Вредоносное ПО и фишинговые сайты

Блуждая по просторам Сети, загружая что-либо, несложно подцепить вирусную программу (их часто называют троянскими конями) или попасть на фишинговый сайт. В зависимости от вида вредоносной программы, она может похищать пароли напрямую из браузера или записывать нажатия на клавиши клавиатуры. Затем эти данные отправляются злоумышленнику.

Фишинговый сайт – это сайт-подделка, который копирует дизайн популярного сайта. Например, vkkkk.com. Пользователь покупается на дизайн и вводит свои данные, которые мгновенно получает злоумышленник.

Как защититься: не загружайте ПО с сомнительных ресурсов, ПО без сведений о разработчике (операционные системы сообщают вам о таком ПО), проверяйте подлинность сайта, не переходите по ссылкам, которые приходят вам с незнакомых почтовых адресов, не доверяйте заманчивым предложениям в почте и не доверяйте свою технику незнакомцам.

Подбор паролей онлайн напрямую

Как можно узнать пароль еще? Самые ушлые злоумышленники могут не побояться проникнуть в офис компании под видом какого-либо работника. Они могут просто протирать пыль, поливать цветы, но внимательно фиксировать, кто что делает и где какие пароли вводит.

Преступники могут также работать по телефону, представляясь техническими специалистами и предлагая сообщить ему информацию, чтобы он мог получить доступ к какой-либо системе.

Как защититься: быть уверенным во всех сотрудниках достаточно сложно, однако важно обучить служащих элементарным методам безопасности – не вводить пароли на глазах у посторонних, не крепить стикеры с паролями к столам и мониторам компьютеров.

Это далеко не все возможности в арсенале хакеров, однако знание этих основных методик позволит вам значительно снизить риск хищения конфиденциальной информации.

Начинающим пользователям компьютера

Логины и Пароли

Сегодня я хочу затронуть очень важную тему, которая касается любого пользователя, работающего на компьютере и имеющего выход в интернет.

И тема эта касается паролей, которые от нас требуют вводить практически все сервисы, начиная от электронной почты и социальных сетей и заканчивая личным кабинетом на сайте госуслуг.

И, хотя парольная политика на многих сайтах немного может отличаться (какие символы при вводе пароля можно вводить, а какие нельзя), но все без исключения сервисы настаивают на том, чтобы мы использовали сложные пароли.

Очень часто мы просто игнорируем это предупреждение. Почему? На мой взгляд, по двум причинам.

Первая причина – просто лень.

Ну а вторая причина, скорее частично, вытекает из первой. Нам куда проще запомнить простой пароль “123456“ или “qwerty“, так как нам просто и удобно нажать последовательно 6 клавиш, чем запоминать сложный пароль типа “!QjhRt^&018@asW“, состоящий из 15 символов (больших и маленьких букв – верхний и нижний регистр, цифр и спецсимволов). Причем спецсимволы для этого пароля (!^& и @) еще надо отыскать на клавиатуре, что не всегда удается с первого, второго, а иногда и десятого раза (Ваш покорный слуга не исключение из этого правила).

Так почему надо вводить сложные пароли? Как сделать сложный пароль таким, чтобы он легко запоминался?
Об этом и о многом другом я и хочу поговорить с Вами в этом уроке.

Для начала о логинах

Интернет замечателен тем, что мы сами можем придумать себе “имя”, под которым нас будут, во-первых, узнавать в интернете, а во-вторых, мы будем вводить в формы, в которых нас просят ввести свой логин и пароль.

Это может быть Ваше реальное имя, а может быть какое-нибудь оригинальное, придуманное Вами.

С реальными именами на сегодняшний момент в интернете есть некоторые проблемы. Реальные имена, практически, все заняты. Что значит “заняты”?

Один из показательных примеров – это создание учетной записи электронной почты на любом почтовом сервисе.

К примеру, хочу я завести почтовый ящик на почтовом сервисе yandex.ru. И хочу, чтобы мой электронный адрес был Oleg@yandex.ru.

Красиво, понятно, узнаваемо и легко запоминается.

Пытаюсь это сделать. Ввожу в поле “Придумайте логин” свое имя на латинице – Oleg.

Сервис мне заявляет, что “К сожалению, логин занят“. И предлагает мне 10 вариантов свободных логинов.

Но все они меня не устраивают по одной простой причине – слишком длинные. Мало того, в качестве уникального логина предлагает ввести номер своего мобильного телефона. Это получается, что все, кто будут получать мои письма, будут знать номер моего мобильного телефона. Вы этого хотите? Я, например, не хочу.

Ну, хорошо. Пересилю свою лень и предвзятость к длинным логинам и добавлю свою фамилию через точку. Судя по предложенным сервисом вариантам, точку в логине использовать можно. Ввожу Oleg.Ivashinenko.

Результат аналогичен предыдущему. Оказывается, на почтовом сервисе яндекса уже есть учетная запись с таким же именем и фамилией.

Значит необходимо придумать свое уникальное имя, которое, самое главное, нравилось мне самому.

В свое время я долго ломал голову, как придумать себе такое имя, чтобы я его точно не забыл и, чтобы было более-менее звучное.

В конце концов я взял по две первые буквы своего имени и фамилии и получился ник (никнейм – от английского nickname, что означает “другое имя”, “псевдоним”) oliv.

Но со временем и этот ник был занят на сервисах, где я регистрировался. Тогда я добавил еще две буквы от своего отчества и получился ник olivur.

Последние лет 10 я без проблем использовал этот ник при регистрациях. Так что если у меня будет почтовый электронный адрес в виде olivur@yandex.ru, то тоже будет неплохо.

Ввожу в форму свой оригинальный, как я считаю, логин “olivur”.

Тоже занято. Сдаваться не хочу. Добавляю к имени магическую семерку.

Все получилось. В принципе, адрес электронной почты olivur7@yandex.ru тоже неплохо смотрится. Можно продолжать регистрацию.

Правда делать я этого не буду, так как на Яндексе у меня уже есть 2 почтовых ящика. Пока хватает. Перейдем к паролям.

Мне скрывать нечего. Я честный человек.

Очень часто на различных форумах, особенно на форумах по безопасности работы на компьютере и в интернете, я часто встречаю комментарии типа “Мне скрывать нечего. Я честный человек.”

И, хотя я обычно не комментирую такие высказывания, один раз все-таки не выдержал и написал примерно следующее: “Ну, раз Вам скрывать нечего и Вы честный человек, то напишите свой логин ипароль от этого форума, где мы общаемся”.

Как Вы думаете, был ответ на мой комментарий? Правильно. Не было. Значит, есть что скрывать. А раз есть, что скрывать, значит в контексте данной фразы форумчанин уже не честный человек.

Ладно, все это софистика.

На самом деле вся информация, касающаяся каждого пользователя все-таки должна оставаться конфиденциальной. Начиная от номера паспорта и ИНН и заканчивая адресом электронной почты, а также логинами и паролями к различным ресурсам и сервисам в интернете.

На начальном этапе освоения компьютера действительно трудно разобраться, зачем нужна конфиденциальность. Но со временем придет понимание.

Приведу несколько собственных примеров.

Уже второй год я не хожу на почту или в сбербанк оплачивать квитанции за коммунальные услуги.

Все платежи я провожу из дома со своего домашнего компьютера. Это так называемые онлайн сервисы различных банков.

У банка “Русский Стандарт” сервис называется “Банк в кармане”, у “ВТБ24” – “Телебанк” и т.д. И, хотя названия могут быть разными, суть одна – все очень удобно и прозрачно.

Для ведения финансовых операций у меня есть три пластиковые карточки – зарплатная, дебетовая и кредитная.

Дебетовую использую в качестве “Сберкнижки” и очень редко расплачиваюсь в магазине. Очень удобно. Никаких комиссий за ведение карточки и счета не берут. Ну а на накопленные средства капают еще и проценты.

С зарплатной карты я оплачиваю все платежи. Ну а если вдруг подходит время оплаты квитанции, а на зарплатной карте уже ничего нет, то расплачиваюсь кредитной картой. Ну а со следующей зарплаты уже перевожу на кредитную карту нужную сумму, чтобы не снимали проценты.

Так к чему я это все рассказываю?

Все это я делаю (оплаты коммунальных платежей по готовым шаблонам, перевод денег со счета на счет) в личных кабинетах соответствующих банков. Ну а доступ к этим личным кабинетам осуществляется по логинам и паролям.

Поскольку это мои личные финансы, я очень сильно заинтересован, чтобы никто, кроме меня не знал моих учетных данных в этих банках. И, хотя при выполнении финансовых операций банки требуют коды подтверждения, которые мне присылают по СМС на мобильный телефон, пароли я имею довольно сложные.

И, хотя, на всякий случай, они записаны у меня в записной книжке, эти пароли я помню. Но об этом чуть позже.

Еще один показательный пример.

Буквально недавно я зарегистрировался на сайте государственных услуг. Оказался довольно интересным и нужным для меня, во всяком случае, порталом.

Я с удивлением обнаружил, что у меня, оказывается, долг по налогам. Но удивление быстро прошло, так как я вспомнил, что земельный налог я заплатил слишком поздно. И мне пошла пеня. Мой долг государству месяц назад составлял уже 12 руб. 75 коп.

Заодно посмотрел, есть ли у меня штрафы ГИБДД. Оказалось, что есть один. Хотя бумажку по почте я никакую еще не получал.

Хотя за границу я пока не собираюсь, но все же оплатил эти долги, чтобы душа была спокойна.

Ресурс оказался интересным. Можно без проблем сделать загран паспорт, поставить машину на учет, записать ребенка в детский сад и т.д. и т.п.

Так вот, в качестве логина на этот ресурс используется номер СНИЛСа. Этот логин действительно уникален и его знаю только я.

СНИЛС – это Страховой Номер Индивидуального Лицевого Счета страхового свидетельства государственного пенсионного страхования. Ну а чтобы никто не имел доступа к моей личной информации, пришлось придумывать действительно сложный, но запоминающийся пароль.

Как взламывают пароли

Я не хакер и не эксперт в области компьютерной безопасности. Но основные принципы информационной безопасности мне знакомы. И Вы должны их знать. Это поможет в будущем сэкономить массу нервных клеток.

Не буду отрицать, что хакер (крупнейший специалист в области безопасности компьютерных систем), если захочет взломать Ваш компьютер, то сделает это. При условии, конечно, что Вы сами не эксперт в этой области.

Утешает одно. Честно говоря, ни я, не Вы хакерам совершенно не нужны. Поверьте на слово. У них глобальные интересы.

А вот что касается нас, простых смертных, то с нами работают довольно распространенные в интернете программы, которые доступны любому пользователю.

Как такие программы попадают на наши компьютеры я уже описывал в уроке “Вирусы и антивирусы“. Поэтому повторяться не буду.

Сейчас я хочу Вам рассказать про один из видов таких программ, которые занимаются подбором паролей на различных информационных ресурсах.

Такой вид программ носит название “Брутфорс“. Это название происходит от сочетания двух английских слов “brute force“, которые означают “Полный перебор” или “Метод грубой силы“.

Такие программы для подбора паролей используют специальные “словари“. Что такое “словари”?

“Словарь” – это обычный текстовый файл (или несколько файлов), в каждой строчке которого написано какое-то “слово”. Например:

……………

И так далее.

Так вот. Такие программы поочередно берут каждое “слово” из такого “словаря” и подставляют в поле пароля, пока это “слово” не совпадет с придуманным Вами “словом”, которое Вы используете в качестве пароля.

В зависимости от сложности Вашего пароля, такой программе может понадобиться от нескольких секунд до сотен лет. А то и вообще не сможет подобрать.

Так что, если у Вас пароль “qwerty” или, допустим “z,kjrj” (слово “яблоко“, набранное на английской раскладке), то у такого типа программ на подбор пароля уйдут секунды.

Так что же делать? Как узнать, насколько простой или сложный у Вас пароль?

На самом деле, не все так плохо и мрачно.

Придумываем сложный пароль

Специалисты по компьютерной безопасности тоже не сидят сложа руки. Они проводят постоянный анализ различных вредоносных программ. В частности и программ типа “Брутфорс”.

И в интернете на данный момент уже масса ресурсов, на которых Вы сможете проверить уникальность Вашего пароля.

Давайте на примере одного из таких ресурсов и посмотрим, как создать себе “сложный”, но легко запоминающийся пароль.

Еще один ресурс, ссылку на который прислала мне читательница Мэри: https://ru.vpnmentor.com

Я Вам расскажу об одном из алгоритмов. Но Вы можете проявить свою фантазию и придумать свой алгоритм.

Пусть, к примеру, Вас зовут Иванов Иван Иванович. “Придумываем” пароль по фамилии, так как это слово мы точно помним с детства – ivanov

Судя по ответу сайта, на взлом такого пароля уйдет меньше секунды. Добавляем восклицательный знак (или любой другой спецсимвол) перед фамилией – !ivanov

Уже лучше. Для взлома такого пароля программе понадобится 12 минут 57 секунд.

Добавляем восклицательный знак после фамилии – !ivanov!

Получается тоже не очень сложный пароль, который взламывается за 12 часов 31 минуту.

Добавим в конец цифры 12345 – !ivanov!12345

Как видно из сообщения, такой пароль может быть взломан через 7 с половиной миллионов лет.

Хотя пароль получился сложным, но запоминается довольно легко. Примерно такие алгоритмы составления паролей я сам и использую.

Есть еще один вариант создания сложных паролей, который легко запоминается.

Например, сегодня утром перед работой, по телевизору показывали мультфильм “Аленький цветочек”. Чем не пароль? Легко запоминается.

Но в лоб, конечно, такой пароль оставлять не желательно. Переиначим его. Наберем название мультфильма на английском регистре c маленькой буквы без пробела: fktymrbqwdtnjxtr и проверим его на сайте.

На взлом такого пароля потребуется примерно пол миллиона лет.

Как Вы видите, совсем не трудно придумать сложный легко запоминающийся пароль.

На этом на сегодня все. Всем удачи и творческих успехов. 🙂

Подписывайтесь на обновления блога Начинающим пользователям компьютера и первыми узнавайте о новых статьях и уроках (Как подписаться).

С уважением ко Всем моим читателям и подписчикам

Олег Ивашиненко

Нравится Опубликовал Олег Ивашиненко 12 мая 2014.
Размещено в Уроки.
Метки: логин, ник, никнэйм, пароль, почтовый ящик, программы, электронная почта, язык ввода.

Если Вам понравилась статья, поделитесь с друзьями в социальных сетях.

Ранее в этой же рубрике:

К записи 18 комментариев

13 05 2014 | Александр.

Олег ! Благодарю ! Очень интересная и полезная информация. Рекомендую.

13 05 2014 | Клавдия

Олежек! Спасибр,дорогой, написано простым понятным языком как раз для чайников,как я.

13 05 2014 | Мила

Олег, спасибо огромное! Как всегда, очень нужная инфа в грамотном изложении на хорошем литературном языке))
Купила новый смартфон Xperia Сони, никак не могу себя пересилить начать им пользоваться. Он для меня такая загадка)) Поругайте меня, плиз.

19 05 2014 | Олег

Здравствуйте Мила!
Мне самому недавно подарили такой же смартфон. Тоже долго руки не доходили начать с ним разбираться. В инструкции слишком маленькие буквы, а глаза уже не те. Недавно нашел хороший обзор этого смартфона и дело пошло 🙂

С уважением, Олег

13 05 2014 | миха

Молодец, хорошо втолковываешь, мне нравится, а вот как подписаться на твой блог не узрел, если через регистрацию , то это плохо, а так бы хотелось просматривать твои УРОКИ!!!

13 05 2014 | Олег

Никакая регистрация не нужна. В самом верху справа есть форма подписки.

06 11 2014 | Библиотека бесплатных программ

Никогда не думал в пароле знак восклицания ставить)))

02 02 2016 | Дмитрий

У меня тоже раньше была вечная проблема с придумыванием логина, пока не придумал себе сочетание и ФИО). Но сервис password к сожалению уже недоступен.

04 02 2016 | Олег

Здравствуйте Дмитрий!
Password.ru действительно уже не функционирует. А жаль. Но это не проблема.
Я добавил в статью еще 3 альтернативных сервиса проверки надежности пароля.
Так что пользуйтесь.
С уважением, Олег

08 03 2016 | мага

Норм

15 01 2017 | Копирайтер

Спасибо, действительно много где приходится применять свою фантазию для придумывания логинов и паролей. Ваш опыт безусловно полезен.

01 11 2017 | Валентина

Cпасибо за информацию! Все так просто и понятно!

02 02 2018 | КоАла

Все здорово написано. Но не согласна, что иметь пароль на русском языке и писать английскими буквами удобно. На клавиатуре ПК да. Но вводить на телефоне неудобно.

05 02 2018 | Олег

Здравствуйте КоАла!
Полностью с Вами согласен.
На смартфонах и планшетах лучше всего придумать пароль, используя латинские символы.
С ув. Олег

19 03 2018 | Владимир

Спасибо тебе Олег за твой труд, мне твои статьи понравились
и я многое из этого опробовал, а так как я Чайник, то просто
пляшу от радости ещё раз тебе Спасибо…А знаешь Олег мне нравится твой стиль общения: Меньше слов, больше дела… Я от
этой статьи не оторвался не разу и здесь же опробовал, всё
прекрасно, я записался к тебе в друзья, но правда ещё не получи новых познаний…

08 11 2019 | игорь

Текст не вызывает отвращения , что редко

Быстрая навигация по этой странице:

  • Как корабль назывешь, так он и поплывет, или выбираем имя
  • Выбираем пароль
  • Нет секретным вопросам

Сегодня утром регистрировался в очередном сервисе и задумался о том, как создать логин и пароль таким образом, чтобы они отличались от моих основных логинов и паролей, но при этом были безопасными с одной стороны и удобными с другой. К чему меня привели размышления — читайте далее.

Как корабль назывешь, так он и поплывет, или выбираем имя

Выбор логина — субъективная вещь, которая зависит в первую очередь от личных предпочтений. Я бы здесь отметил лишь два основных момента:

Анонимность против узнаваемости

Выбирая себе логин, подумайте над тем, чего бы вы хотели бы добиться — полной уникальность и узнаваемости, или, напротив, анонимности?

В первом случае нужно брать логин, который более нигде не повторяется — если Вы будете присутствовать под этим именем на разных площадках (блоги, форумы и т.д.), то вас можно будет идентифицировать.

Если же у вас прямо противоположные цели, то нужно, наоборот, брать самые распространенные имена и никнеймы.

Безопасность

В основном, этот пункт актуален, если вы выбираете себе логин для админ-панели на своем сайте или на каком-нибудь блоге/форуме/сервисе, где всем пользователям показывается одно имя (например, Маша Петрова), а логинитесь вы при этом как masha_petrova.

Известно, что многие блоги вордпресс и других CMS регулярно пытаются взломать через перебор пароля. К сожалению, и у меня такое пару раз было — стоял легкий пароль из пяти цифр. В результате злоумышленник зашел в админку и залил на сайт вирус.

Этого не случилось бы, если бы я задумался о безопасности при выборе логина. А именно, у меня стоял логин admin, и именно на него рассчитано большинство скриптов, занимающихся брутфорсом — перебором паролей.

Достаточно было бы выбрать другой логин — и перебор паролей уже был бы не страшен.

В этой связи, для админок нельзя выбирать такие имена, как admin, administrator или имена, совпадающие с названием либо доменом сайта.

Также не стоит лишний раз светить свой почтовый ящик, особенно если в него входит логин — по этой причине я не особо рекомендую использовать тег mailto на страницах сайта.

Выбираем пароль

Как известно, пароли пользователей в базах данных хранятся в зашифрованном виде (обычно используется алгоритм MD5 и его модификации). Это значит, что если кто-то получит доступ к базе данных, то у него не будет вашего пароля, а будет последовательность символов — что-то наподобие 1a1dc91c907325c69271ddf0c944bc72 (приведенный пример — md-5 хэш от слова «pass»).

Из этой последовательности символов злоумышленник не сможет восстановить ваш пароль (алгоритм не позволяет), однако он сможет с помощью софта (который существует в большом количестве в открытом доступе) запустить перебор паролей — программа будет создавать их md5 хэш и сравнивать с имеющимся хэшем до тех пор, пока не найдет верный вариант.

Таким образом, например, можно подобрать пароль к админке большинства блогов wordpress (имея хэш и если в самом блоге не использовано дополнительных методов защиты, чего практически никогда не бывает).

Перебор пароля — это вопрос времени и мощности компьютера. Потому чем длиннее пароль, тем больше нужно времени для того, чтобы подобрать его. Для этой же цели в пароль добавляются прописные и заглавные буквы, цифры, а также спец. символы — тогда количество комбинаций символов, которые придется перебирать программе, увеличивается в миллиарды раз, и перебор пароля становится возможным только в теории, а на практике — нереальным, так как на него могут уйти годы.

Вывод, который следует из этого — пароль должен быть как можно длиннее и включать в себя все возможные варианты символов. Как правило, рекомендуемая длина — от 12 символов, но здесь четкого правила не существует — никто не запрещает взять 11 символов или 20 символов — нужно соотносить значимость пароля, количество раз, которое вам придется набирать его в день, вероятность попытки его взлома.

Если Вы хотели бы иметь при этом еще и запоминаемый пароль, то в нем не рекомендуется использовать напрямую связки слов, лучше разбавлять их спецсимволами, цифрами и т.д.

Нет секретным вопросам

Секретные вопросы — это одна из уязвимостей, которую часто используют злоумышленники при взломе аккаунтов. Бывает, что человек выбрал сложный логин, еще более сложный пароль, но в качестве ответа на секретный вопрос указал реальную девичью фамилию матери, которая часто к тому же входит в топ-20 самых популярных фамилий России. Результат — аккаунт взломан.

Чтобы избежать таких ситуаций, я стараюсь никогда не указывать ответы на секретные вопросы в почтовых и иных сервисах, которые могут быть раскрыты методом перебора или, тем более, которые могут быть легко стать известны третьим лицам.

Подбираем пароли с помощью Google Chrome

Согласно многочисленным исследованиям в области компьютерной безопасности, в ТОП-3 уязвимостей информационных систем входит подбор пароля.

Почти для каждой информационной системы сегодня существуют свои дефолтные учётные записи, которые широко распространены в сети Интернет. Например, их можно взять отсюда.

В случае, если мы имеем какой-либо портал, где пользователи – это люди, то бОльшую часть уязвимых слабых паролей можно отнести к одной из 4 групп:

  1. Пароли, входящие в топ самых популярных фраз (такие как «123456», «password», и т.п.).
  2. Пароли, представляющие собой сочетание клавиш – так называемые keyboard-walks пароли (например, «qwerty», «qazwsx», и т.п.).
  3. Пароли – искажённые логины («user123», «user321», и т.п.).
  4. Либо использование в качестве пароля популярных русских слов или имён в «перевёрнутой» раскладке («ljcneg», «fylhtq»).

Вся беда в том, что большинство людей – причем как рядовых пользователей, так и администраторов систем – стремится использовать легко запоминающиеся пароли.

Из выделенных групп частых паролей вытекает, что при подборе пароля можно использовать соответственно 4 методики создания словарей:

  1. По данным сервиса haveibeenpwned.com, на сегодняшний день масштаб всеобщих утечек подбирается к цифре 5 миллиардов (вспомните myspace, linkedin, adobe и т.п). На основе части данных утечек можно выделить топ-1000 наиболее распространенных паролей. Например, так:
    cat antipublic/ exploitin/ | sed -rn ‘s/+:(.)/\1/p’ | sort | uniq -c | sort -n -r | head 1000 > top1000.txt*
  2. Чуть больше года назад от создателя инструмента hashcat появилась замечательная утилита kwprocessor. С помощью нее можно сгенерировать все возможные сочетания клавиш под любую раскладку клавиатуры:
    kwp basechars/tiny.base keymaps/en.keymap routes/2-to-10-max-3-direction-changes.route | len.bin 6 100 > keywalks.txt
  3. Получение достаточно большого количества искажений для некоторого имени пользователя проще всего сделать при помощи набора правил утилиты hashcat:
    hashcat -r /usr/share/hashcat/rules/leetspeak.rule logins.txt —stdout > login_mutations.txt
  4. Аналогично первому пункту списка, можно взять за основу словаря масштабные утечки русскоязычных ресурсов.

Собранные наборы паролей в дальнейшем могут быть «скормлены» таким утилитам как hydra, medusa, ncrack или patator, в зависимости от тестируемого сервиса.

В случае, если аутентификация реализована через web, а именно через http-формы (то есть не http-basic/digest аутентификация), то удобнее всего воспользоваться функционалом intruder от burp suite free (Рисунок 1).

Рисунок 1 — Bruteforce-атака подручными средствами

В случае с burp нужно внимательно следить за размером ответа: изменение размера ответа можешь означать, что логин или пароль присутствует в системе.

Также при bruteforce-атаках на web возможны сложности (и речь даже не про ):

  • Во-первых, при каждой отправке формы может использоваться токен. И после каждой неудачной попытки он может меняться.
  • Во-вторых, нет точного образца ответа сервера в случае, если пароль угадан. Более того, возможны ситуации, когда ответ на правильные и неправильные учётные данные будет идентичен, а в ответе будет просто идти редирект через заголовок Location, где уже в дальнейшем будет ясно об успешности попытки входа.
  • В-третьих, некоторые веб-сервисы при аутентификации не отправляют введённые учётные данные, как они были введены, открытым текстом. Речь про случаи, когда используется client-side хэширования, причем сами хэш-функции могут быть уникальными (не md5, sha-x и т.п.).

Впрочем, для этих сложностей можно предложить решения:

  • Разработка скрипта, который будет парсить ответ от сервера, находить там токен, после чего подставлять его в следующий запрос.
  • Разработка скрипта, выполняющего при каждом ответе редирект и сравнение длины полученного ответа.
  • Анализ javascript-кода, выполняющего те или иные преобразования с введёнными данными, а после реализация данного алгоритма в своем скрипте.

Конечно, эти случаи не так часты. Однако порою, встретив подобную веб-форму, мы лишь вручную вводим туда дефолтные учётные записи и что-то тривиальное типа admin:admin.
Но что если производить брутфорс не на уровне http, а выше, на уровне интерфейса пользователя? Ведь если внедрить в контекст тестируемого веб-приложения javascript-код, который в цикле будет подставлять в форму заданные логин/пароли и отправлять её, то достаточно легко удастся обойти все перечисленные ранее сложности. Ведь по сути, вся работа при этом совершается браузером.

Реализовать это можно с помощью расширения для браузера greasemonkey и собственного javascript-кода, который будет жёстко заточен под разметку данной html-страницы. Но писать каждый раз js-код для каждой новой страницы неудобно. Удобнее всего было бы иметь всё это в виде отдельного расширения, в данном случае – для Google Chrome.

Всё, что потребуется, чтобы воспользоваться www_brute – это открыть какой-либо интересующий сайт и нажать на иконку расширения. Если всё сделано правильно, то появится примерно следующее (Рисунок 2).

Рисунок 2 — Добавление новой цели

Чтобы приступить к настройке брутфорса, нужно нажать на единственную кнопку – «плюс».
Вся настройка проста и сводится к двум моментам:

  • Выбор полей ввода данных — кнопка со стрелкой.
  • Выбор данных для ввода — следующая кнопка.

Перед выбором полей для ввода логина и пароля на странице сайта с формой, которую предстоит атаковать, будет внедрён скрипт, который последовательно отловит три нажатия на элементы страницы. Этими элементами должны быть поле username, password и кнопка отправки формы. Перечисленные элементы должны быть выбраны именно в данной последовательности (Рисунок 3).

Рисунок 3 — Выбор полей для ввода

При каждом нажатии на соответствующий элемент он будет становиться красным, что подтверждает его выбор. После выбора кнопки отправки данных страница может перезагрузиться (если она не использует ajax), в таком случае красное выделение пропадёт, но это нормально.

Тут очень важно отметить, что элементы ввода запоминаются по html-атрибутам и их значениям. Поэтому, если после отправки формы сайт «нарисует» другую форму, то при следующей попытке подбора поле ввода не будет найдено. Хотя логика поиска полей ввода допускает не полное соответствие атрибутов, всё же данную настройку лучше производить уже после хотя бы одной неудачной отправки учётных данных. Пример – facebook.com (Рисунки 4 и 5).

Рисунок 4 — Форма до первой попытки входа

Рисунок 5 — Форма после первой попытки входа

Словари поддерживаются для имен пользователей, паролей и фиксированных пар логин: пароль (combo) (Рисунок 6).

Рисунок 6 — Словари для bruteforce-атаки

Поскольку combo-словари используются для дефолтных учётных записей либо утечек, то вначале будут выбраны именно они. Затем будет выполнен полный перебор всех сочетаний имён пользователей и логинов. Причём будет выполнен перебор по каждому паролю всех логинов – для минимизации возможных блокировок пользователей при неудачных попытках. Итого общее количество попыток можно будет вычислить по формуле:

length(combo) + length(passwords) * length(users)

По окончании всех настроек можно начинать:

Рисунок 7 — Bruteforce-атака в действии

Значения username и password в popup-окне расширения — это следующие кандидаты на ввод.
Логика работы достаточно проста и заключается в переборе всех заданных сочетаний логин/пароль, а так же пар логин: пароль в цикле до тех пор пока:

  • не кончится словарь;
  • не исчезнет поле ввода – что может означать успешность входа (либо блокировку).
    Вся статистика подбора пароля отображается в режиме реального времени:

Рисунок 8 — Процесс bruteforce-атаки на множество целей

Зелёным выделено то, что удалось подобрать, красным — безуспешная попытка. В ходе работы можно спокойно переключиться на другую вкладку либо полностью свернуть окно браузера, ведь как мы помним, брутфорс делает сам браузер, а мы лишь немного ему в этом помогаем.

Перебор пароля можно легко «распараллелить». Для этого достаточно просто открыть ещё одну или несколько вкладок на том же домене.

В любой момент времени брутфорс любого сайта может быть поставлен на паузу. Стоит заметить, что плагин не имеет обратной связи с ответами сервера, поэтому (особенно в случае с ajax) нужно правильно выбрать интервал между попытками. Не рекомендуется ставить слишком маленькое значение интервала.

Конечно данный способ никак не обходит такую вещь, как , так что брутфорс таких вещей, как gmail.com и им подобных, продлится не долго. Однако в сочетании с proxy/vpn можно что-нибудь придумать…

Что же касается таких вещей, как брутфорс админок разных CMS, систем мониторинга, самописных сайтов и прочих вещей, которыми обычно пестрят сетевые периметры разных компаний, то данный способ подходит как нельзя лучше.

Плагин для chrome, а так же словарь для топ-1000 паролей доступен на и в webstore.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *