Почему хакеры так легко и просто взламывают наши пароли?

Ф

Фокс Мaлдер

Guest
Автор: Олег Нечай 04 июля 2013

Взлом пользовательских паролей — одно из самых распространённых преступлений в Сети, оставляющее далеко позади DoS-атаки и создание бот-сетей. Почему же хакерам так легко удаётся вскрывать пароли? А всё дело в пресловутом человеческом факторе.
Самая главная причина — мы подсознательно выбираем такие пароли, которые очень сложно угадать и запомнить посторонним людям, но с которыми «на раз» справляется обычный персональный компьютер. Поговорим о том, как на самом деле хакеры вскрывают пароли, и как с этим бороться.
В марте 2013 года известный американский интернет-журнал Ars Technica провёл любопытный эксперимент: его редактор Нэйт Андерсон, никогда раньше не занимавшийся взломом паролей, вооружился свободно доступным в интернете софтом, крупнейшей за последние годы базой хэшей паролей сайта RockYou, также за секунды найденной в Сети, и за какие-то несколько часов взломал чуть меньше половины из загруженного на специализированном форуме списка с 16449 MD5-хэшей, получив порядка восьми тысяч пользовательских паролей в обычной текстовой форме.



Повторим, Андерсон до этого вообще никогда в жизни не занимался вломом паролей. Поэтому, впечатлившись его успехами, в мае 2013 года редакция Ars Technica решила повторить эксперимент с тем же самым списком MD5-хэшей, но уже с участием трёх профессиональных взломщиков. На сей раз результаты оказались ещё более сокрушительными.




Больше всего паролей удалось раскрыть эксперту Stricture Consulting Group Джереми Госни. Используя обычный серийный компьютер на процессоре AMD с видеокартой Radeon 7970, он за двадцать часов взломал 14734 паролей, то есть 90% списка. Второе место занял Йенс Штойбе, ведущий разработчик бесплатного ПО oclHashcat-plus, предназначенного, конечно же, для взлома паролей: используя чуть более мощную машину с двумя видеокартами Radeon 6990, он всего лишь за час с небольшим расшифровал 13486 хэшей, то есть 82% из списка. Ещё один хакер, скрывшийся за псевдонимом radiх, за тот же час вскрыл 62% паролей, но при этом он ещё и подробно комментировал свои действия.
Как же действуют специалисты по взлому, и почему пользовательские пароли так легко расшифровать?
Прежде всего, взламываются «простые» пароли, на что уходит меньше всего времени, а затем, как в любой компьютерной игре, хакер переходит на более высокие уровни, требующие значительно большего времени и особых навыков.

Полный текст ТУТ
 
!Chip

!Chip

Активный участник
Регистрация
27.02.2008
Сообщения
42 382
Реакции
2 255
Баллы
113
Вот такой пароль: F#fsdf2323rfDW он будет лет 10 взламывать на своём обычном компутере... Вся беда в тупоголовых юзерах использующих пароли в виде имён, дат, или qwerty, q1w2e3r4t5y6 789456123 и тд, таких много по этому и пароли легко подобрать по словарю.
З.Ы. Тему можно закрывать
 
Savoy

Savoy

S.P.Q.R.,
Регистрация
17.04.2005
Сообщения
16 310
Реакции
556
Баллы
113
Вся беда в тупоголовых юзерах использующих пароли в виде имён, дат, или qwerty, q1w2e3r4t5y6 789456123 и тд, таких много по этому и пароли легко подобрать по словарю.
З.Ы. Тему можно закрывать

Пошел менять пароли.
 
Z

ZASlonovsky

Активный участник
Регистрация
21.10.2009
Сообщения
8 638
Реакции
179
Баллы
63
Вот такой пароль: F#fsdf2323rfDW он будет лет 10 взламывать на своём обычном компутере... Вся беда в тупоголовых юзерах использующих пароли в виде имён, дат, или qwerty, q1w2e3r4t5y6 789456123 и тд, таких много по этому и пароли легко подобрать по словарю.
З.Ы. Тему можно закрывать
Теперь мы все знаем пароль !Chip'a. :D
 
Водитель_Камаза

Водитель_Камаза

Новичок
Регистрация
26.12.2007
Сообщения
2 426
Реакции
21
Баллы
0
Вот такой пароль: F#fsdf2323rfDW он будет лет 10 взламывать на своём обычном компутере... Вся беда в тупоголовых юзерах использующих пароли в виде имён, дат, или qwerty, q1w2e3r4t5y6 789456123 и тд, таких много по этому и пароли легко подобрать по словарю.
З.Ы. Тему можно закрывать

ггг)) если зашифрован мд5 то обычная видюха geforce 580 сломает за пару дней, а может и раньше, не говоря уже о паре каких нить 680
 
Ш

шшшшш

Активный участник
Регистрация
07.04.2010
Сообщения
4 738
Реакции
290
Баллы
83
SSStylish

SSStylish

Участник
Регистрация
25.05.2005
Сообщения
2 735
Реакции
6
Баллы
38
А при чем тут взлом, когда речь идет о расшифровке MD5?
Хотя вывод можно все же сделать - использовать для каждого из ресурсов в интернете РАЗНЫЕ пароли.
 
Водитель_Камаза

Водитель_Камаза

Новичок
Регистрация
26.12.2007
Сообщения
2 426
Реакции
21
Баллы
0
надо бороться с причиной, а не со следствием - не увеличивать сложность пароля, а убирать уязвимости через которые хакер сможет получить хеш пароля, а сбрутить его дело времени, причем разместив на спец форумах хеш и распределив маски можно получить пароль намного быстрее.
 
M

M@tMan

Активный участник
Регистрация
17.04.2010
Сообщения
2 569
Реакции
35
Баллы
48
ггг)) если зашифрован мд5 то обычная видюха geforce 580 сломает за пару дней, а может и раньше, не говоря уже о паре каких нить 680
+1. Еще года два назад была статья, в которой рассказывали о взломах аккаунтов с помощью видеокарты. Так вот, еще тогда типовая видюха за 2-3к ломала пароль из 4-х символов за несколько часов. Из 8-ми символов - за несколько недель. Если учесть, что мощности GPU растут из года в года, то сегодня карты за ту же цену хватит, чтобы быстро сломать большинство паролей. Ну а если пароль сложный - топовое решение в помощь. Захотят - взломают, и ничего не спасет. Тем более, если есть такие уязвимости.
 
тит

тит

Активный участник
Регистрация
20.07.2011
Сообщения
8 456
Реакции
1 407
Баллы
113
Вечная борьба снаряда и брони. )) Судя по истории никогда не закончится, только даёт толчёк к развитию.
 
!Chip

!Chip

Активный участник
Регистрация
27.02.2008
Сообщения
42 382
Реакции
2 255
Баллы
113
!Chip

!Chip

Активный участник
Регистрация
27.02.2008
Сообщения
42 382
Реакции
2 255
Баллы
113
+1. Еще года два назад была статья, в которой рассказывали о взломах аккаунтов с помощью видеокарты. Так вот, еще тогда типовая видюха за 2-3к ломала пароль из 4-х символов за несколько часов. Из 8-ми символов - за несколько недель. Если учесть, что мощности GPU растут из года в года, то сегодня карты за ту же цену хватит, чтобы быстро сломать большинство паролей. Ну а если пароль сложный - топовое решение в помощь. Захотят - взломают, и ничего не спасет. Тем более, если есть такие уязвимости.

А из 12 символов сколько лет?
 
W

Warlock

Новичок
Регистрация
15.02.2010
Сообщения
5 657
Реакции
130
Баллы
0
Тоже не понял, причём тут "взлом паролей"... Кто бы ещё дал злоумышленнику базу хешей паролей юзеров с целевого сервера:) Если речь идёт о взломе сервера, то к паролям это отношения не имеет - это уже уязвимости ПО сервера и пофигизм его администраторов. Злоумышленнику, получившему доступ с правами администратора или root, сливать базу с хешами паролей дуни кулаковой и васи пупкина уже не нужно - он и так имеет доступ к первоисточникам интересующих данных о васе и дуне, а так же к возможности совершить от их имени любые действия, без необходимости логиниться непосредственно под их аккаунтами.
Единственное, что верно - это рекомендация иметь разные пароли на разных ресурсах, т.к. сам владелец ресурса, считающийся "доверенным" (имеющим прямой доступ к серверу с ресуром и хранящимися на нём данными) для данного ресурса, может одновременно являться злоумышленником для другого, пытаясь применить "условно известные" ему пароли пользователя к аккаунтам пользователя на других ресурсах.
 
fizrefl

fizrefl

Активный участник
Регистрация
22.03.2011
Сообщения
4 785
Реакции
73
Баллы
48
ггг)) если зашифрован мд5 то обычная видюха geforce 580 сломает за пару дней, а может и раньше, не говоря уже о паре каких нить 680
фигня. во первых это даст кучу вариантов паролей, вовторых все варианты через два дня для такого длинного пароля такая слабая видюха тебе не даст
 
Водитель_Камаза

Водитель_Камаза

Новичок
Регистрация
26.12.2007
Сообщения
2 426
Реакции
21
Баллы
0
Дам хеш, расшифруешь? или ты гдето чтото читал?)
я тебе даже больше скажу, я этим несколько лет назад деньги зарабатывал) поэтому я в этой теме побольше вашего понимаю
фигня. во первых это даст кучу вариантов паролей, вовторых все варианты через два дня для такого длинного пароля такая слабая видюха тебе не даст
:) почему когда люди не в теме, они пытаются ещё спорить? какие ещё кучи вариантов паролей? 1 пароль - 1 хэш
 
Sprut

Sprut

Новичок
Регистрация
11.10.2008
Сообщения
13 270
Реакции
57
Баллы
0
я тебе даже больше скажу, я этим несколько лет назад деньги зарабатывал) поэтому я в этой теме побольше вашего понимаю
:) почему когда люди не в теме, они пытаются ещё спорить? какие ещё кучи вариантов паролей? 1 пароль - 1 хэш
прикольно :)
 
Верх Низ