Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 44
Вот еще анализ 62k паролей добытых LulzSec, но там информация совсем скудная.
Зато там автор пытался классифицировать пароли по тем или иным признакам. Например, 12к паролей из 62к полностью состоят из цифр — это значительный процент. Все остальные обобщения плавают на уровне 3-5%. С точки зрения перебора по словарю они представляют интерес. С точки зрения брута я думаю столь малые доли не имеет смысла рассматривать.
Судя по вашему анализу, мои пароли не пользуются популярностью, и это радует)
Научный подход.
Можно существенно ускорить перебор паролей брутфорсом, хотя… с таким бэкграундом брутфорсом этот метод уже не назовешь)
Можно назвать статфорсом. На основе статистик же))
в свое время, когда занимался UDC тоже использовал статистические методы. Считал декомпозицию паролей из большой базы (20 миллионов) на комбинации символов, идущие подряд, в зависимости от позиций, грубо — в начале, в середине, в конце.
затем перебирал словарь_начальных_комбинаций x словарь_средних_комбинаций^n x словарь_конечных_комбинаций. какие-то оптимизации, чтобы выкидывать повторные проверки не проводил, но в целом это позволяло «восстанавливать» до 75% паролей меньше чем за час.
затем перебирал словарь_начальных_комбинаций x словарь_средних_комбинаций^n x словарь_конечных_комбинаций. какие-то оптимизации, чтобы выкидывать повторные проверки не проводил, но в целом это позволяло «восстанавливать» до 75% паролей меньше чем за час.
смартфорс
Тема интересна, развивайте. Еще бы увидеть алгоритм на языке программирования.
Тема очень интересная, но возник иной вопрос: чем анализировали базу паролей и чем создавали графики? Как раз ищу удобный инструмент для последнего.
ага, научный подход :)
а нормализовать по частотам для обычного языка? и что-то мне подсказывает что после нормализации будет более случайное распределение. А следовательно перебор по словарю будет гораздо успешней.
а нормализовать по частотам для обычного языка? и что-то мне подсказывает что после нормализации будет более случайное распределение. А следовательно перебор по словарю будет гораздо успешней.
Сегодня вечером просто для интереса прогоню обычный текст и построю графики. Всё-таки пароли пользователей мне кажется более специфичны, чем просто текст. Чаще используются звонкие слова, например.
Тут вопрос более глубокий. Если использовать полученные статистические данные для атаки на пользователей из приблизительно той же языковой и социальной группы, то никакая нормализация не нужна и использование результатов статистики даст выигрыш при переборе. Но вот если есть желание воспользоваться данной статистикой, как универсальной — то тут можно уже говорить о нормализации, но при этом полученные данные скорее всего приведут к мысли, что статистика бесполезна, что Вы и утверждаете. Следовательно, не стоит пользоваться конкретными результатами как неким плацебо, а нужно взять на вооружение сам механизм анализа и применять его к конкретным ситуациям. Но в любом случае практика — критерий истины, так что хорошо бы теперь посмотреть статистику получения выигрыша от использования буквенно-частотной статистики =)
Судя по количественному анализу букв, у многих пароль должно быть: reason :) И кстати, биграммы интересные получились.
Что-то мне подсказывает что существует 2 принципиально разных варианта:
1) Осмысленный пароль (фраза, комбинация, или еще что-то)
2) Сгенерированный пароль
Для сгенерированных паролей частотные анализы — заведомо ересь, потому как они случайны. Для осмысленных же перебор слов по словарю будет гораздо эффективней чем попытка эти слова сгенерировать.
1) Осмысленный пароль (фраза, комбинация, или еще что-то)
2) Сгенерированный пароль
Для сгенерированных паролей частотные анализы — заведомо ересь, потому как они случайны. Для осмысленных же перебор слов по словарю будет гораздо эффективней чем попытка эти слова сгенерировать.
Я думаю сгенерированных паролей не так много, чтобы они значительно повлияли на статистику.
Есть пароли осмысленные для создающего, но случайные на первый взгляд — генерируемые не по случайному алгоритму.
Есть не осмысленные «случайные» пароли и при этом не сгенерированные программами. Лично мне проще запомнить последовательность символов, которую я придумал сам, чем ту, которую выдала какая-то программа.
Простите за занудство, но я уже не первый раз в топиках подобного содержания встречаю утверждения вроде «как видим, биграммы совсем не случайны».
Будем рассуждать по порядку. Строго говоря, пароль вообще нельзя считать случайной последовательностью символов (если речь о придуманных пользователями, таких большинство). Но в контексте брутфорса каждый конкретный пароль для конкретного логина можно считать случайным.
Далее, каждая случайная величина (возвращаясь к нашимбаран биграммам, случайной величиной будет являться дискретная случайная величина со значениями в виде всевозможных биграмм) обладает своим законом распределения! И то, что очень и очень многие тут называют «случайно» на самом деле приравнивают по смыслу к «равновероятно». Закон распределения может быть каким угодно, вообще любым, и величина от этого случайной быть не перестанет. Закон распределения (для дискретной величины) есть множество значений величины и соответствующие им вероятности. Равномерный закон распределения — это очень частный случай! Давайте будем грамотнее.
P.S.: пока писал комментарий, увидел, что тоже относится и к комментарию выше от товарища alexey_uzhva. Конечно, сгенерированные пароли случайны, однако закон распределения символов по их местам в пароле нам неизвестен. Ведь очевидно, что генератор вряд ли допустит последовательности «ааа» или «111», значит он уже не равномерный для каждой позиции. А проведенные в этом и предыдущем (а он как раз рассматривал только пароли, не подобравшиеся по словарю!) топиках исследования показывают, что он довольно интересный и может облегчить брут.
Будем рассуждать по порядку. Строго говоря, пароль вообще нельзя считать случайной последовательностью символов (если речь о придуманных пользователями, таких большинство). Но в контексте брутфорса каждый конкретный пароль для конкретного логина можно считать случайным.
Далее, каждая случайная величина (возвращаясь к нашим
P.S.: пока писал комментарий, увидел, что тоже относится и к комментарию выше от товарища alexey_uzhva. Конечно, сгенерированные пароли случайны, однако закон распределения символов по их местам в пароле нам неизвестен. Ведь очевидно, что генератор вряд ли допустит последовательности «ааа» или «111», значит он уже не равномерный для каждой позиции. А проведенные в этом и предыдущем (а он как раз рассматривал только пароли, не подобравшиеся по словарю!) топиках исследования показывают, что он довольно интересный и может облегчить брут.
Конечно, сгенерированные пароли случайны, однако закон распределения символов по их местам в пароле нам неизвестен. Ведь очевидно, что генератор вряд ли допустит последовательности «ааа» или «111», значит он уже не равномерный для каждой позиции.
Однажды, когда военный генератор пароля случайно выдал осмысленную фразу, подтверждая древний тезис об обезьяне, которая способна сочинить «Войну и мир», паника поднялась на весь бывший СССР...
Почему же не допустит последовательности «ааа» или «111»? Они могут сгенерироваться случайно.
я думаю практически все на хабре знакомы с основами основ теории вероятности, и знают хотябы приблизительно, что такое функция распределения
Всё дело в том, что я проводил анализ не с точки зрения теории вероятности, а с точки зрения математической логики, дискретной математики и комбинаторики.
Прочитал как «Анализ анальных паролей...». Не понял. Прочитал повторно — «Ректальный анализ паролей». Нажал на ссылку. Прочитал в третий раз. Окончательно проснулся.
Мне пора к доктору, да?
Мне пора к доктору, да?
Это все конечно мило и познавательно, но неплохо было бы посмотреть на реальные оценки и испытания. Ведь нерабочие часы тоже показывают два раза в день правильное время
– Учитель, я подобрал хороший пароль, которого не может быть в словарях.
Инь Фу Во кивнул.
– Я ввёл его в Гугле, – продолжал Сисадмин, – и убедился, что в Сети такого сочетания нет.
– Теперь есть.
Коллеги, может я не в теме, но о каких атаках идет речь? И какая практическая польза от словарей?
а) после неправильного ввода добавляем задержку (0.1 секунды, 0.2 секунды, 0.4 секунды, 0.8 секунда, 1.6, 3.2)
б) на 3-й неправильный ввод присылаем каптчу на вход
в) на 10-й неправльный вход блокируем вход в аккаунт.
а) после неправильного ввода добавляем задержку (0.1 секунды, 0.2 секунды, 0.4 секунды, 0.8 секунда, 1.6, 3.2)
б) на 3-й неправильный ввод присылаем каптчу на вход
в) на 10-й неправльный вход блокируем вход в аккаунт.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Анализ реальных паролей пользователей и улучшенный полный перебор