I cracker delle password / gli attacchi a forza bruta danno maggiore priorità alle "password delle immagini"?

4

Qualche tempo fa ho visto un post su reddit su qualcuno con il nome utente apparentemente molto casuale "78523965412369874123":

Setracciaquestinumerisuunnormaletastierinonumerico,compilaunasvasticaconunacasellaintorno.

LosodallaschermatadibloccodelmodelloAndroid,cheesistono combinazioni di lockscreen 389112 per una matrice 3x3.

Modifica: dovresti tenere presente che la schermata di blocco del pattern presenta alcune limitazioni, ad esempio che il pattern deve essere un movimento continuo, quindi il salto non è consentito. Nell'esempio swastika, l'utente può effettivamente saltare, iniziare nuove ecc. Quindi le combinazioni possibili dovrebbero essere molto più alte.

Calcolo:

Moves = 4, combinations = 1624
Moves = 5, combinations = 7152
Moves = 6, combinations = 26016
Moves = 7, combinations = 72912
Moves = 8, combinations = 140704
Moves = 9, combinations = 140704

Total possibilities: 1624 + 7152 + 26016 + 72912 + 140704 + 140704 = 389112

Risulta che gli utenti tendono a preferire password visivamente accattivanti , facili da trascinare e facili da indovinare in base ai punti sfumati poiché offrono un possibile punto iniziale / finale che riduce drasticamente lo spazio di ricerca.

Ritorno alla svastica: poiché le persone tendono ad usare password visivamente accattivanti, un cracker o un brute-forcer metterebbe una priorità più alta su quelle "password visive" su una tastiera o un tastierino numerico?

Ci sono liste per questo?

Dovrei consigliare alle persone della mia azienda di non usare password visive che rappresentano qualcosa? Poiché la maggior parte delle linee guida del passwort si concentrano su non utilizzare parole di dizionario o termini diffusi.

Modifica 2:

La mia domanda non è limitata al tastierino numerico. Dovresti prendere in considerazione tutti i dispositivi che puoi scrivere.

Le password visive potrebbero essere molto più lunghe delle normali password, che trovi in un dizionario. Dal momento che li "dipingi" e devi solo ricordare la forma visiva, penso che potrebbero esserci password con 20 o più cifre.

Un brute-forcer di solito non controlla quelle lunghe password, ma se ci fosse un elenco di "forme visive tipabili", all'improvviso un brute-forcer potrebbe essere in grado di controllare parole molto lunghe, dato che ci sono solo tante visuali moduli che digiti su una tastiera.

Vedi esempio qui:

Questoesempioindica"Fresco!", che apparirebbe simile se digitato:

EWAZXTRDCVGYGBNJUIK,.P;/ - 24 simboli.

PS: non sono un madrelingua inglese e non sono molto soddisfatto dei termini "password-immagine", "password visive", ... ma nonostante la ricerca in anticipo non ho trovato nome per quello che intendo. C'è uno migliore? Devo cambiare il titolo del mio post?

    
posta hamena314 05.08.2016 - 12:04
fonte

5 risposte

2

Quindi, se potessi riaffermare ciò che stai chiedendo, ti piacerebbe conoscere un ordine di priorità delle cose da indovinare che avresti posto davanti alla supposizione casuale di password brute force o random. Inoltre, vorresti sapere se qualcuno lo ha già fatto per le password basate su pattern e hai trovato un posto ottimale per loro nella priorità degli strumenti di ricerca password.

La risposta è duplice. Sì, le persone hanno da tempo creato ordini prioritari di valori di password da indovinare per primi. 20 anni fa, "crack" supportava il disegno di diversi tipi di elenchi per facilitare l'indovinello; per ricordare:

  1. Dizionario di password precedentemente incrinate
  2. Modifiche alle password precedentemente incrinate
  3. Dizionario di password comuni
  4. Modifiche alle password comuni
  5. Dizionario di tutte le parole inglesi
  6. Modifiche alle parole del dizionario
  7. Ricerca sequenziale di forza bruta

Le password precedentemente incrinate erano le password recuperate da una precedente esecuzione dello strumento, basate sull'evidenza che le persone su un sistema spesso modificano le stesse password con semplici regole, come l'aumento dell'ultima cifra, ecc. Le password comuni sono stati pubblicati elenchi di password recuperate da hack e sondaggi.

Le modifiche della password includevano cose come le regole di sostituzione, come "aggiungi una cifra da 0-9 alla fine della parola", "aggiungi un simbolo alla fine della parola", "sostituisci @ per un", "sostituto 0 per o ", ecc. Le modifiche possono essere personalizzate per ogni dizionario; l'idea era che la precedente lista di password era molto breve, e quindi più tempo di CPU poteva essere speso per molte combinazioni e permutazioni di quelle password piuttosto che per le varianti di parole di dizionario casuali. (Allora, le CPU erano molto più limitate di oggi).

Per essere più specifici nella tua istanza, non sono a conoscenza di alcun generatore di password basato su pattern che possa essere inserito in una toolchain, ma ciò non significa che non potrebbero esistere.

Tuttavia, se le password basate su pattern sono comuni come teorizzate, allora quei modelli di cifre o lettere dovrebbero apparire nelle password rivelate in molte delle recenti violazioni; come sarebbero trattati allo stesso modo di qualsiasi altra password nel database. Se fossero veramente comuni, il conteggio delle password aumenterebbe per loro e il più comune sarebbe fluttuante verso la cima degli elenchi.

Abbiamo visto da tempo che alcuni schemi appaiono negli elenchi comuni: 123456, qwerty, ecc. Quindi un argomento è che potremmo non dover fare qualcosa di speciale per supportare i modelli più fantasiosi, perché abbiamo la prova che saranno naturalmente fluttuare verso l'alto per essere rivelato nella prossima grave violazione.

Ma ciò non significa che la tua idea non sia valida. Se inizi a lavorare su questo, ti consiglio di testare il tuo codice su un database pubblico di password trapelate. A seconda di quanti ne trovi, potrebbe essere una risorsa molto preziosa, o potresti scoprire che la pratica è meno comune di quanto pensavi.

    
risposta data 09.08.2016 - 22:30
fonte
5

Potevano benissimo.

In realtà dipende dal contenuto del dizionario del cracker. La persona che gestisce il cracking (come probabilmente saprai) inizierà con un dizionario di parole vere e password conosciute, quindi una volta esauriti i dizionari, l'hacker inizierà a utilizzare le maschere prima di eseguire un vero attacco a forza bruta.

Quindi ora che metti questo post qui, altri hacker aggiungeranno tali "password conosciute" nel loro dizionario. Se fossi uno, vorrei - in questo momento:)

Ora dipende dalla persona che rompe gli hash: non hanno gli stessi dizionari.

    
risposta data 05.08.2016 - 13:57
fonte
2

Non è il cracker delle password che mette la priorità sulle "password visive" ma usa la tabella arcobaleno.

Rainbow Table ( definizione )

L'enfasi per un attacco si basa su due cose, quale hash / crittografia la tua frenata (ad es. MD5 , SHA1 . SHA2 ) e quale modello di attacco si sta tentando di interrompere (ad esempio simboli alfabetici, numerici, alfa-numerici, alfa-numerici / w). Questo è solitamente espresso in entropia in base al numero di simboli disponibili che si possono usare per creare una password.

Fisiologia della password ( definizione )

Questo è fondamentalmente lo studio del perché selezioniamo password sbagliate e puoi trovare molte ricerche sull'argomento. I pattern sono molto comuni in gran parte di ciò che fa la maggior parte delle persone.

Un semplice esempio di questo è:

qwerty

che se guardi la tua tastiera è abbastanza ovvio. Esistono molti modelli correlati a questo tipo di comportamento, ad esempio

1qa2ws3ed
123qweasd
/.,mnbvcc
-[0p9o8i7

Troppi sistemi di password, quelli sono password moderate, ma se li digiti sulla tastiera, vedrai la semplice logica dietro di loro.

Elenchi password

Dato che non ho intenzione di mostrarti come acquistare e / o acquistare questi elenchi (non che Google non sia riuscito a farti fissare), penso che qualsiasi tester di penetrazione sarebbe d'accordo, inizi con le basi (ad esempio A Tavolo arcobaleno con le 1200 password più comuni) e lo modificate in base all'obiettivo.

Riepilogo

I cracker OOTB come JTR usano elenchi di attacchi generali o forza bruta per indovinare le password. Molti cracker possono essere integrati con elenchi definiti dall'utente che metterebbero l'accento su schemi di tua scelta. La tua teoria dei modelli è in realtà il numero di elenchi di password generati, perché le persone effettivamente studiano come le persone creano le password. Non vediamo molto le cose come il tuo esempio sulla svastica, perché la probabilità non ha un peso in favore di altri schemi di attacco più comuni.

    
risposta data 09.08.2016 - 22:44
fonte
0

Back to the swastika: Since people tend to use visually appealing passwords, would a password-cracker or brute-forcer put a higher priority on those "visual passwords" on a keyboard or a numpad?

Are there lists for that?

Potrebbero essere generati in modo programmatico con alcune statistiche. Ma qual è il punto? Perché dovresti limitare la tua analisi a questo particolare attacco?

Un elenco di password comuni includerà già tutte le comuni password "patterny" e sarebbe facile, dato il layout tastiera / tastiera, calcolare diverse rotazioni di esse.

Questo sarebbe un attacco combinato dizionario / bruteforce, in cui prendi il tuo dizionario e calcoli diverse variazioni sui suoi elementi.

Quando le persone parlano di attacchi di dizionario, gli aggressori non stanno letteralmente usando un dizionario. È preferibile utilizzare un elenco di password comuni precedentemente conosciute . Questi elenchi sono in genere costruiti a partire da precedenti violazioni, come la violazione del linkedin che ha creato le prime pagine anno.

Inoltre, controlla questo documento dell'Università di Cambridge. Mentre i pin focalizzati a 4 cifre, gli stessi principi potrebbero essere applicati a numeri più grandi.

Tieni presente che le password di solo tipo numerico sono di solito PIN, dove sono presenti protezioni aggiuntive per compensare l'entropia bassa inerente a questo tipo di input:

  • aumento del ritardo tra ogni tentativo fallito
  • numero massimo di tentativi prima di essere bloccato
  • analisi del rischio e altre euristiche

Should I advise people in my company to not use visual passwords that represent something? Because most of the passwort guidelines focus on not using dictionary-words or widespread terms.

La risposta corretta dipende dal tuo modello di minaccia, ma di nuovo ti servirebbe meglio semplicemente vietare password comuni che includeranno già le "fantasie" se sono abbastanza comuni.

Dato che ci siamo, fai attenzione alla tua politica sulle password. Trova un buon equilibrio tra usabilità e sicurezza, altrimenti finirai per perdere la sicurezza quando gli utenti inizieranno a scrivere le loro password su post-it sotto la tastiera.

    
risposta data 09.08.2016 - 18:35
fonte
0

Alcuni anni fa, quando MySpace era ancora in voga (ma comunque in declino), un sito di social application che estendeva i social network (incluso MySpace) è stato violato, rivelando i nomi utente e le password di oltre 30 milioni di account. Una conseguenza interessante dell'hack era che, una volta che la lista fosse stata resa disponibile successivamente, i ricercatori di sicurezza hanno improvvisamente avuto a disposizione un enorme corpo di dati sulle abitudini di selezione delle password degli utenti. 32 milioni sono un esempio abbastanza vasto ed esauriente, e molti password cracker sono configurati per cercare prima i pattern e le password che il RockYou attacca rivelato essere comune.

Fare ricerche su quali password produrre "immagini" sarebbe una quantità di lavoro maggiore di quella che varrebbe la pena quando si è già a conoscenza dell'esperienza precedente, in particolare l'esperienza di RockYou, che gli utenti non sono propensi a usa quel metodo.

    
risposta data 12.08.2016 - 17:34
fonte

Leggi altre domande sui tag