Come possono gli hacker indovinare le password (usando l'attacco dizionario o la forza bruta) senza essere bloccate?

Question

Come possono gli hacker indovinare le password (usando l'attacco dizionario o la forza bruta) senza essere bloccate?

#1 da (6 voti)
#2 da (1 voti)
#3 da (1 voti)
#4 da (1 voti)

8

Al giorno d'oggi quasi tutti i siti web in cui desideri registrarti; ti sta chiedendo di creare una password complicata ... Ma perché non possiamo usare password semplici?

Mi chiedo solo perché in caso di più tentativi di password sbagliati; molti siti Web e dispositivi oggi utilizzano il sistema di blocco che blocca in modo permanente finché non vengono seguite le opzioni di ripristino OPPURE ti blocca per un determinato periodo di tempo ... Inoltre alcuni siti Web utilizzano captcha per garantire che ci sia un essere umano dall'altra parte e non solo uno strumento o uno script ....

Se qualcuno può elaborare questo per favore ... come è pratico (o anche possibile) che gli hacker indovinino una password con queste misure di sicurezza che sono in atto ... Lo so succede perché è successo a me. Avevo un account e-mail Yahoo con una password di 6 caratteri (lettere e numeri ma nessun carattere speciale o caps) e un hacker è riuscito ad accedervi e ha iniziato a inviare spam ai miei contatti della rubrica. E sono sicuro che la mia password è stata non catturata tramite phishing, social engineering o keylogger.

Non sto cercando gli strumenti o gli script esatti, sto solo cercando qual è l'idea dietro una password di successo indovinata nonostante le misure di sicurezza in atto che non inducano a indovinare. Quindi ad esempio , anche se la mia password era composta solo da lettere e aveva solo sei caratteri, come può qualcuno indovinare la mia password gmail ?

email passwords brute-force

posta Identicon 19.09.2014 - 22:31

fonte

4 risposte

Leggi altre domande sui tag email passwords brute-force

Esiste una versione decentralizzata di LastPass? Trovato una vulnerabilità di sicurezza sul sito relativo al gov

score 6 · Answer 1

Il blocco degli account è una misura di limitazione della velocità effettiva contro gli attacchi di forza bruta quando l'attaccante ha come target un determinato account. Non è efficace contro un attacco collettivo su più account. Ad esempio, potresti provare tutti i possibili nomi utente mentre provi la stessa password comune per tutti e recuperare una parte dei conti.

Persino il CAPTCHA è solo una caratteristica che limita i tassi di fronte ai cracker e agli agricoltori CAPTCHA.

I know it happens because it happened to me.

Non è sicuro che sia successo a causa della forza bruta contro l'interfaccia di accesso. Oltre ai citati attacchi di phishing e trojan, oltre a possibili altre vulnerabilità Web come XSRF, il database di Yahoo è stato definitivamente compromesso in passato (probabilmente con perdite di hash che sono probabilmente reversibili per password comune e breve); in più se hai usato la password da qualsiasi altra parte, l'altro sito potrebbe essere stato compromesso. Yahoo ha storicamente avuto una reputazione particolarmente scarsa per i compromessi degli account, che è probabilmente un misto di tutte queste cose.

score 1 · Answer 2

In questo caso dovrebbero in qualche modo mettere le mani sull'hash della tua password. Esegui uno strumento contro di esso, che confronta i possibili hash risultanti con il tuo vero hash. Se l'hash corrisponde, allora sanno quale password è stata utilizzata per generare quell'hash. Ora basta un tentativo per accedere al tuo account Yahoo.

score 1 · Answer 3

Avere lockout o meccanismo CAPTCHA, impedisce all'attaccante online di effettuare la ricerca della forza bruta. Se il tempo di blocco è 10 minuti, quindi per forzare bruto un dizionario di 1 milione (2 ^ 20) parole, l'attaccante richiede 6944 giorni o quasi 20 anni. Il calcolo è mostrato di seguito:

i. Con 10 minuti di blocco, l'attaccante può provare 6 parole / ora dal dizionario. ii. In un giorno 24 * 6 = 144 parole. iii. Numero di giorni necessari per esaurire il dizionario = 2 ^ 20/144 = 6944 giorni.

Pertanto, se si imposta la password dal dizionario, entro 20 anni utilizzando l'attacco online la password è definitivamente infranta. In media ci vorranno 10 anni per farlo.

Tuttavia, maggiore è la minaccia derivante dall'attacco offline. Se l'utente malintenzionato ha l'hash della password del dizionario, può interromperlo entro un secondo.

score 1 · Answer 4

La maggior parte degli attacchi di forza bruta ora un giorno utilizza liste combinate piuttosto che una password o un attacco di dizionario. Un elenco combinato è un nome utente utente e la relativa password in questo formato nome utente: password. Li raggiungono attraverso l'hacking di database con SQL injection, pagine di phishing, keylogger e persino usando i dork di Google per trovare i dump di siti web in rete.

Porta lo scenario che hai appena registrato su un sito Web o forum e questo sito web mantiene il nome utente e la password di accesso sul suo database che è vulnerabile a SQL Injection. Un hacker incide il database e ne estrae tutti i nomi utente e le password. La maggior parte delle persone usa lo stesso nome utente e la stessa password per tutto, quindi eseguendo questo elenco combinato di nomi utente e password su siti Web diversi, di solito si ottengono sempre alcuni hit. Un altro modo è il sanguinare le liste dei membri del forum. In questo modo hai già i nomi utente di accesso nella maggior parte dei casi. Uno degli errori più comuni che le persone fanno è avere la loro password uguale al loro nome utente, o avere 123456 o anche la parola password come password. Quindi quello che fai è creare una lista in cui tutti i nomi utente hanno la stessa password. Ricevi sempre qualcuno che ha usato 123456, password o il loro nome utente come password.