Euristica a forza brutale utilizzata nel crack delle password

6

Domande esistenti su questo sito discutere alcune delle euristiche utilizzate dagli strumenti di cracking delle password per evitare di eseguire una ricerca di forza bruta assolutamente ingenua (ad esempio, "parola del dizionario con sostituzioni di numeri più due caratteri" invece di "8 caratteri casuali").

Ovviamente qualsiasi strumento appena sviluppato potrebbe incorporare qualsiasi euristica a cui l'autore possa pensare. Ma sono curioso ... quali strategie sono usate dai comuni cracker di password là fuori oggi?

    
posta jrdioko 30.08.2011 - 01:46
fonte

4 risposte

3

Come dice Jim, ci sono due approcci principali:

  • Prova molti possibili da un elenco (dizionario / elenco di parole)
  • Enumera ogni possibilità (forza bruta)

Ognuno di questi ha trucchi che possono essere utilizzati per migliorare il time-to-crack medio:

Per un dizionario / elenco di parole possiamo:

  • usa un elenco di parole di frasi / frasi comuni, non solo parole comuni
  • aggiungi parole specifiche per sito / dominio (ad esempio "psp" se si attacca l'elenco Sony)
  • aggiungi parole specifiche dell'utente (ad es. nome utente / posizione ecc. da LDAP; questo potrebbe essere esteso per includere "risultati di google" e informazioni socialmente progettate come "Joshua")
  • aggiungi "pass frasi" alla lista di parole (ad esempio frasi dalla Bibbia)
  • genera varianti per ogni parola utilizzando diversi pattern di "complessificazione" comuni (l33t, pre / suffisso numerico, iniziali takining, ecc. e combinazioni di pattern)
  • ordina la lista di parole (e le varianti generate) in base alla presunta verosimiglianza

Per forza bruta possiamo:

  • usa le combinazioni di frequenza delle lettere della lingua target (ad esempio digraphs e trigraphs) per concentrare prima gli sforzi sulle sequenze "più probabili" ("forza intelligente")
  • usa un elenco di parole (piuttosto che lettere / cifre / simboli) come blocchi di costruzione, a prova a decifrare una passphrase

Sia il dizionario che la forza bruta possono essere ottimizzati nel caso (poco comune) di "leaked unsalted hash" utilizzando una tabella arcobaleno, che contiene hash precalcolati per molti milioni di password candidate, ad es. per tutte le 8 combinazioni di caratteri.

Ad eccezione di wordlist / passphrase brute-force, "frasi dalla Bibbia" e parole specifiche dell'utente, tutte queste tecniche sono supportate negli strumenti esistenti e in uso. I pattern di "complessificazione" utilizzati dipendono dallo strumento: i cappucci iniziali, il pre / suffisso numerico, l33t sono comuni; cifra / simbolo nel mezzo forse meno ma sicuramente supportato.

Le liste di parole specifiche per l'utente sono supportate da strumenti, ma non di uso comune contro gli account Web, AFAIK, dove ottenere frutti a basso impatto offre il miglior rendimento. È inoltre possibile fornire elenchi di parole personalizzati, dalla Bibbia o da qualsiasi altra parte. È più probabile che tali tecniche vengano utilizzate quando esiste un obiettivo specifico.

    
risposta data 31.08.2011 - 09:03
fonte
4

Come già accennato, ci sono solo due modi principali per affrontare il problema (forza bruta e dizionario basato sul dizionario) (assumendo che la password non sia protetta da un algoritmo o un'implementazione imperfetti). Da quello che ho visto il principale add-on di queste strategie è provare ad aggiungere un elemento di probabilità al cracking, quindi se sappiamo che la password '123456' è molto comune per gli elenchi di password simili a quello che abbiamo ' guardando a noi iniziamo con quello.

C'è stata una presentazione interessante a Defcon un paio di anni fa su questo (link qui ) che ha coperto alcuni di questi problemi di cracking probabalistico e strategie di mangling di parole per attacchi di dizionario. Ci sono anche alcuni buoni link in avanti nella presentazione.

C'è anche una buona raccolta di elenchi di parole da database di password crackizzati sul sito di sicurezza del cranio qui alcuni dei che sono già elencati per probabilità.

    
risposta data 31.08.2011 - 09:41
fonte
2

Dai un'occhiata a Tecniche John the Ripper sovralimentate . Spiega in modo approfondito i metodi e le tecniche di cracking delle password (come utilizzare efficacemente il software di crack delle password).

Penso che dia un buon punto di vista sull'intera "operazione di cracking della password". Inoltre, parla di come creare password "non basate su modelli conosciuti ".

    
risposta data 31.08.2011 - 11:08
fonte
1

I due grandi sono dizionario e forza bruta. Come sapete, la forza bruta è piuttosto inefficiente quando il numero di personaggi diventa grande. Certo, le persone potrebbero sviluppare un'analisi statistica per il cracking delle password, ma la verità è che a nessuno importa davvero. La maggior parte delle password non vengono raccolte dalle password di cracking, ma sono progettate socialmente. Quelle che non sono progettate socialmente sono screpolate da vulnerabilità nel codice o da un database che probabilmente non ha saltato gli hash.

Ad esempio nelle notizie in questi giorni le persone stanno scaricando i file delle password nell'intervallo MB, nessuna di queste password è stata forzata o incrinata.

Ora, se guardiamo a strumenti comuni di cracking delle password, come ad esempio John the Ripper (il mio preferito), si vede che in realtà non utilizza tecniche "intelligenti". Puoi usare la forza bruta, puoi usare un dizionario (o un altro elenco di parole), oppure puoi usare le password comuni migliori.

In futuro potrei vedere i password cracker diventare personalizzati (come la medicina), non vuoi avere un enorme elenco di password che un target non penserebbe mai, vuoi mirare a quella persona e sai cose su questo persona. Puoi dare al tuo strumento il nome di un sito di social networking e avere i miei dati, astrarre le password. Oppure puoi fornirgli altre informazioni personali.

Una cosa da notare è che è sempre più facile attaccare la persona rispetto alla macchina (generalmente). Ecco i miei due centesimi su questo.

    
risposta data 30.08.2011 - 19:04
fonte

Leggi altre domande sui tag