Для повышения эффективности взлома паролей используется несколько методов: словари, правила для модификации словарной базы, цепи Маркова.
Но можно ещё ускорить процесс, если применить новую технику, разработанную хакерами из компании Praetorian. Они предлагают комбинировать несколько известных методов, а также применить статистический анализ, чтобы выявить характерные закономерности.
Во-первых, если правила на сайте требуют, чтобы в пароле была как минимум одна цифра и один символ в верхней раскладке клавиатуры, то многие установят именно такой пароль: с одной-двумя цифрами и одним прописным символом. Кроме того, есть другие часто встречающиеся паттерны. Например, цифры часто ставят в конце пароля, прописные буквы в начале, а у разных символов разная частота встречаемости в отдельных местах.
Зная эти факты, работа взломщика значительно упрощается. Достаточно составить «маски» с характерными шаблонами, чтобы сильно ускорить брутфорс. Гипотезы проверили на некоторых открытых дампах с паролями, похищенными у крупных компаний, в том числе на базе Rockyou с 14,3 млн паролей, базе LinkedIn с 8,6 млн паролей и др. В общей сложности для тестирования собрали базу из 34 659 199 паролей.
Все знают, что защита данных осуществляется с помощью паролей, которые должны быть надежными. Эксперимент показал, что 50% паролей соответствуют всего лишь 13 маскам из набора. Это доказывает универсальность применения шаблонов при составлении паролей. Статистический анализ показывает, что символы в пароле очень далеки от случайного порядка.
Специалисты отмечают, что есть ещё несколько специфичных методов, повышающих эффективность брутфорса. Например, инструменты вроде CeWL умеют собирать слова с веб-страниц, пополняя словарь. Логика в том, что пользователи иногда выбирают для паролей специфические термины по тематике сайта. Есть и такой приём: в словарь добавляют редкие слова, которые уже встретились в ранее взломанных паролях. Логика примерно такая же: таргетирование атаки для конкретного сайта.
Кроме того, опасно, если вы в своем браузере – допустим, в Google Chrome – сохраняете пароли от ваших любимых веб-сайтов. Любой человек, получивший доступ к вашему компьютеру хотя бы на минуту, может скопировать все ваши пароли, набрав в адресной строке простую строчку: chrome://settings/passwords. По этому адресу откроется страница со всеми вашими паролями, причем эта страница автоматически сохраняется на каждом компьютере, на котором вы хотя бы раз заходили в свой аккаунт в Google.
