Stavo guardando La ragazza con il tatuaggio del drago , e questa hacker femmina era davvero brava nell'hacking. La mia domanda è: come è possibile per lei crackare le password oltre all'approccio alla forza bruta? Non riesco a pensare in ogni caso oltre a questo. E se è così, allora perché i film fanno diventare gli hacker dei geni, se non c'è modo di farlo?
In primo luogo, i film non sono realistici per quanto riguarda . Non è diverso dal "realismo" dello zoom su telecamere di sicurezza e pulizia delle immagini. Non è solo realistico, ma è un buon intrattenimento e aiuta a migliorare la trama.
Tuttavia, detto questo, ci sono molte persone con facile -a-indovina le password . Conosco un sacco di persone altrimenti intelligenti che non si preoccupano di password valide, non le cambiano frequentemente, ecc. L'intelligenza non è dissuasiva per la cattiva gestione delle password e, quindi, i super-cattivi e i cattivi hanno la stessa probabilità di avere -a-indovina le password.
Se dovessi tentare di entrare in un account senza forza bruta, inizierei con le semplici password facili da indovinare e conto sulla stupidità delle persone che sto cercando di hackerare. O mi piacerebbe ricorrere all'ingegneria sociale. "Vengo dall'helpdesk e ho bisogno di sbarazzarmi di un virus sul tuo PC. Puoi fornirmi il nome utente e la password in modo che possa accedere e farlo?" (Saresti sorpreso di quante persone si innamorassero per questo.)
Un modo semplice per indurre la "sospensione volontaria dell'incredulità" a causa del cracking delle password nei film, io tendo a favorire lo scenario "password debole" perché è il più realistico.
Praticamente tutte le tecniche di hacking di Girl With The Dragon Tattoo sono reali e usate regolarmente non solo dai cattivi, ma anche dalle forze dell'ordine, dai team di test di penetrazione e dai revisori della sicurezza. (avvertenza - Ho letto il libro e ho guardato il film originale ... potrebbero aver cambiato tutto)
Certo, Hollywood li drammatizza, ma in questo caso, non di molto. Ho gestito squadre di individui che possono fare le cose mostrate in questo film, e nel mio passato oscuro e remoto, ne ho fatto alcune io stesso.
Per quanto riguarda i feed video dalle telecamere CCTV, ora ci sono alcune aziende con sistemi che estraggono le informazioni da più fotogrammi per interpolare / estrapolare fotogrammi di alta qualità. Ma no, non è possibile ruotare la vista per affrontare la direzione opposta a quella della telecamera (Nemico dello Stato). E non puoi ingrandire e eseguire il pan in modo indefinito (Blade Runner)
In quasi tutti i paradigmi di sicurezza del computer l'anello più debole è la parte umana. Alcuni algoritmi di sicurezza sono semplicemente cattivi, il che aiuta gli hacker. L'ingegneria sociale e la stupidità fanno molto per rendere gli hacker davvero belli prima che sia necessario anche sospendere l'incredulità.
Ecco una calcolatrice interessante che ti dà un'idea approssimativa di diversi scenari di potenza di calcolo e quanto tempo impiegherebbe un attacco a forza bruta.
Usando una password come "power" si ottiene un risultato di meno di un milionesimo di secondo con una serie di computer progettati per la forza bruta e un peggior scenario di attacco online nel caso peggiore di meno di 4 ore. D'altra parte una password come "1We ^ gold" fornisce un tempo di attacco simulato di 1,12 minuti con lo stesso super-computer, ma oltre duemila secoli usando un attacco basato sul dizionario online.
Tutto questo per dire, da una parte qualsiasi password che non blocchi le ipotesi può essere forzata a forza bruta su una timeline abbastanza lunga o con una potenza di calcolo sufficiente. La domanda Hollywood diventa quindi, è più facile convincere il pubblico che la password è debole o che l'hacker ha accesso a un array di super-computing? La seconda opzione sarebbe bella per un cambiamento, ma di solito il problema è semplicemente ignorato o spiegato dalla debolezza del bersaglio.
Una variazione sugli attacchi di tipo brute-force (dizionario) ha come target gli hash delle password nei database. Un metodo (possibilmente plausibile) a cui si fa riferimento qui utilizzando database e password è un Rainbow Attack .
L'utilizzo di un set di hash precomputer con uno schema di hash scadente e veloce / debole (come MD5) che corrisponde allo schema di hashing nel database delle password può risultare in una serie di corrispondenze abbastanza rapidamente senza dover utilizzare risorse di calcolo.
Leggi altre domande sui tag passwords