Для повышения эффективности взлома паролей используется несколько методов: словари, правила для модификации словарной базы, цепи Маркова. Но можно ещё ускорить процесс, если применить новую технику, разработанную хакерами из компании Praetorian. Они предлагают комбинировать несколько известных методов, а также применить статистический анализ, чтобы выявить характерные закономерности.
Во-первых, если правила на сайте требуют, чтобы в пароле была как минимум одна цифра и один символ в верхней раскладке клавиатуры, то многие установят именно такой пароль: с одной-двумя цифрами и одним прописным символом.
Кроме того, есть другие часто встречающиеся паттерны. Например, цифры часто ставят в конце пароля, прописные буквы в начале, а у разных символов разная частота встречаемости в отдельных местах.
Зная эти факты, работа взломщика значительно упрощается. Достаточно составить «маски» с характерными шаблонами, чтобы сильно ускорить брутфорс.
Гипотезы проверили на некоторых открытых дампах с паролями, похищенными у крупных компаний, в том числе на базе Rockyou с 14,3 млн паролей, базе LinkedIn с 8,6 млн паролей и др. В общей сложности для тестирования собрали базу из 34 659 199 паролей.
Эксперимент показал, что 50% паролей соответствуют всего лишь 13 маскам из набора.
Это доказывает универсальность применения шаблонов при составлении паролей. Статистический анализ показывает, что символы в пароле очень далеки от случайного порядка.
Выявилось также, что если пользователя вынудили использовать в пароле символ в верхнем регистре, до в 90% случаев это первый символ в пароле!
Относительно цифр самый популярный шаблон — две цифры в конце пароля. Следующий по популярности шаблон — четыре цифры в конце. Часто это предыдущий или текущий год.
Специалисты отмечают, что есть ещё несколько специфичных методов, повышающих эффективность брутфорса. Например, инструменты вроде CeWL умеют собирать слова с веб-страниц, пополняя словарь. Логика в том, что пользователи иногда выбирают для паролей специфические термины по тематике сайта. Есть и такой приём: в словарь добавляют редкие слова, которые уже встретились в ранее взломанных паролях. Логика примерно такая же: таргетирование атаки для конкретного сайта.
xakep.ru