Esistono statistiche conosciute delle password utilizzate durante gli attacchi con password brute force?

3

Ho letto un bel po 'di attacchi di forza bruta e mi chiedo se le password utilizzate in tali attacchi debbano essere mantenute in giro in modo da impedire in seguito ai miei utenti di avere quelle password, dal momento che quei sistemi di forza bruta controllati con quelle password, immagino che potrebbero provare di nuovo con lo stesso set di password contro altri account e quindi non avere queste password usate ovunque sui miei sistemi sarebbe probabilmente una buona idea ...

Naturalmente, con il tempo potrei finire con la lista nera di un numero molto elevato di password altrimenti davvero buone. Quindi la mia domanda sul controllo della password della forza bruta su Internet sarebbe:

Qualcuno ha fatto qualche raccolta delle password usate da tali tentativi di forza bruta? E se tali collezioni esistono, quali sono le statistiche sul riutilizzo / test di un certo insieme di password? (cioè quei robot stanno sempre riutilizzando lo stesso set di password? Sono sempre controllando con password completamente diverse?)

    
posta Alexis Wilke 13.01.2016 - 08:59
fonte

2 risposte

1

A quanto ho capito, gli attacchi di forza bruta hanno alcuni aspetti:

  • Vera forza bruta, iniziando da A, passando a B, e così via fino a ottenere un successo.
  • Attacca il dizionario, utilizzando tutte le parole conosciute.
  • Attacchi mirati, che funzionano dalla tua lista di password (fatta da password trapelate e trasformazioni su di loro).
  • Attacchi mirati che utilizzano le informazioni personali del bersaglio.
  • Una combinazione di quanto sopra.

1 e 2 puoi difenderti, ma non ci sono elenchi specifici. Mantieni le persone lontane da parole intere e aumenta la complessità e puoi fare qualcosa.

Per 3, hai un elenco di password, il divieto di tutte le voci nell'elenco potrebbe non essere la mossa migliore, ma puoi prendere i colpevoli più frequenti.

Per 4, non c'è una soluzione programmatica facile. È un problema di persone non tecnico.

    
risposta data 13.01.2016 - 11:00
fonte
0

Ci sono un sacco di liste eccellenti disponibili. Fai una ricerca su google per "seclists", dai anche un'occhiata a questo github per alcuni recenti link Nmap ha una buona lista di password costantemente aggiornata, ma non è così completa. Un'altra fonte eccellente è il feed twitter 'dumpmon' e, tornando alle origini, se sei su Linux, esegui 'locate dictionary' per vedere i dizionari disponibili sul tuo sistema.

    
risposta data 13.01.2016 - 11:28
fonte

Leggi altre domande sui tag