Авторские статьи Пароли, которые мы выбираем.

Пароли, которые мы выбираем.

Доброго времени суток всем, кто интересуется информационной безопасностью или небезопасностью. Совсем недавно из социально-профессиональной сети LinkedIn были украдены реквизиты 6.143.150 аккаунтов и, конечно же, хэши паролей этих аккаунтов были выложены в сеть.
Мне уже давно хотелось провести небольшое исследование на тему безопасности паролей, но под руку не попадалось дампов хэшей с серьезных ресурсов. И вот момент настал. Я буду краток…
Мной была проведена атака по словарю…
Полный перебор я специально не использовал, так как теряется смысл изыскания, а наша задача – понять, как пользователи «выдумывают» себе пароли.
Итак, что имелось в наличии:
- словарь 580.738.891 уникальных слов (реальные слова
различных народов мира, дампы паролей, а также комбинации часто встречающихся фраз).
- программа брутфорсер oclHashcat-plus
- дамп хэшей(SHA1) с LinkedIn

Пароли находились как прямым сравнением со словарем, так и применением к этому словарю самых распространенных правил.
- «мутирование» регистров символов в слове (password - >
PaSSwoRd)
- дублирование символовслова, инверсия слова, вращение
(password - > passwordpasswordpassword)
- добавление спец. символов в начало и конец (password - >
password2012)
- замена символов на символы схожие в написании (password - >
p@$$word)
- и многие другие.
Итого было найдено 36771 из 6.143.150 паролей. Примечательно то, что поиск дублей в дамбе показал лишь 146265 хэшей, это крайне меня удивило. Число найденных паролей не так велико, но присмотримся к результатам.
len: 6 count:179
len: 7 count:967
len: 8 count:13153 - фаворит 8 символьный пароль.
len: 9 count:5544 - второе, просадка по кол-ву больше чем в два раза
len: 10 count:4961
len: 11 count:4383
len: 12 count:3264
len: 13 count:1926
len: 14 count:1124
len: 15 count:513
len: 16 count:689
len: 17 count:24
len: 18 count:24
len: 19 count:7
len: 20 count:5
len: 21 count:2
len: 22 count:2
len: 24 count:2
len: 26 count:2 - встречались и такие особи.
диаграмма распределения длин паролей:



А теперь главное, вернемся к теме «Пароли, которые мы выбираем»
Стоит отдать должное LinkedIn, цифровые пароли там запрещены (не одного не было найдено). Я не стану уделять внимание слабым паролям, а обращусь сразу к сложным. Очень много паролей, основанных на преобразованных словах, например, таких, которые, я указал в правилах «мутации» слов. Встречаются пароли типа ФАМИЛИЯ-ИМЯ, длинный пароль, но, тем не менее, достаточно иметь дамб имен с того же Facebook, чтобы с легкостью находить пароли такого типа. Дублирование слов создает длинные пароли, но крайне уязвимые против атак по словарю, например: «principinoprprincipinopr» - 24 символа, недоступные для прямого брутфорса, по причине «столетий» оказывается бесполезным против атак по словарям.
Различные крылатые выражения, также используются в качестве паролей. Проблема очевидна, они могут быть в словаре, а благодаря правилам «мутации», подставляемых в хэш функцию слов, хоть 10 раз напишите «ilovecats», такой пароль будет найден.
Отношение паролей использующих символы в нижнем регистре составляет примерно 82%, остальные же 18% - это смешанные или пароли в верхнем регистре.
Я не стану утверждать, что данная статистика абсолютно точна, ведь есть ещё 6.106.379 нерасшифрованных хэшей.
Подведу итоги в виде рекомендаций:
- аксиома №1 «Не создавай пароль меньше 12 символов».
- аксиома №2 «Не создавай пароль из цифр».
- аксиома №3 «Используй в пароле буквы в верхнем и нижнем регистре, а
также цифры и символы»
- аксиома №4 «Не используй дублирующиеся слова, не важно насколько они
сложны по отдельности».
- аксиома №5 «Не изменяй реальное слово, используя замены, дабы
превратить его в сложное, но читаемое»
- аксиома №6 последняя «Если ты с трудом запомнил свой пароль, или без
записи его, где-либо тебе не обойтись, знай это стойкий пароль!»

Спасибо всем за внимание, прошу простить за несколько художественный стиль повествования. Первая статья комом



P.S исходник моей статьи находится тут:
ТУТ

 

Хорошая статья. Лично у меня на одном ресурсе стоял пароль примерно в 26 символов, который содержал простенькую и запоминающуюся фразу.

 

ТС,раз уж разговор о паролях,то у меня такой вопрос,как к знающему. Если в пароле ставить пробел (некоторые сервисы это поддержуют),то какова вероятность взлома (брута) ?
Допустим у меня пароль alex alex

 

довольно высокая, никто не запрещает создать правило типа
удвоить слово из словаря, а между ним поставить символ из алфавита N

 

Я поступил иначе, я взял простенькую запоминающуюся фразу, перевел на английский, взял первые буквы слов, цифры оствил как есть. Получил пасс в 14 символов.

 

Тоже вариант. Смысл вобщем-то похож: и запоминается, и подобрать такой пароль по словарю практически нереально.

 

когда то чувак предложил интересную схему
пасы всегда будут разные для всех ресов
принцип такой

берем пас например "SuperMegapaSS"
и подставляем первую и последнюю букву ресурса
для ачата будет так
"aSuperMegapaSSt"
так можно извращаться как хочешь)
и пасы будут разные и легко запомнить

 

Тут вроде не упомянули принцип выбора пароля мной
Скажем, если мне надо выбрать пароль, то беру запоминающееся мне слово.
Эвакуатор, например. Очень хорошо запоминается
И пишу я это слово на русском, но в англ раскладке. Т.е. получается 'dfrefnjh. Бывает еще добавляю циферки. Банальные циферки, типа года или даты рождения.
Меня почему - то полностью удовлетворяют мои пароли, ибо меня еще никогда не взламывали. Мб потому, что я не такая личность, что бы каждый день подвергаться взломческим атакам, но всё же

 

t3cHn0iD, и? Я смотрю вы на форуме только и делаете, что придираетесь к образно сказанным выражениям. Вашей чудной терминологии я не знаю, так что присуньте свой фэйспалм куда подальше и оставьте для местных троллей.
Очень содержательный комментарий. Браво.

 

Обожаю таких ТП как ты
И присунуть - это не ко мне.

 

Мои поздравления. Наслаждайся

 

Кстати, есть интересный онлайн-сервис, который определяет (теоретически) то количество времени, которое потребуется хакеру, чтобы взломать ваш пароль. Вы вводите на сайте свой пароль – внизу отображается время, чтобы его взломать . Так что делайте выводы сами:
http://howsecureismypassword.net/

ЗЫ: теоретически мой предложенный пароль типа alex alex ломанется спустя 35 дней.Но подобный сервис и пугает - а вдруг это сборщик паролей для баз,что для брута?!

 

Какая - то бредовая штукенция.
Моему эвакуатору ('dfrefnjh) срок тоже в 35 дней дали.
Но стоило мне добавить к эвакуатору еще 5 цифр и взлом затянется на 293 млн лет

 

Да нет,не бредовая Метод с простым транслитом русских слов англ.буквами малоэффективен.Да ты и сам понял,что нужно разбавлять буквами,цифрами,спецсимволами.....

 

понялА. судя по этой теории вообще, достаточно написать транслитом одно словцо + 5 цифр. на 778 тысяч лет хватит. ну а плюс 1 символ - на 16 млрд лет. прекрасно, в танке.

 

не очень актуально)
такие можно подобрать

 

Все три сервиса выдают разные результаты на одни и те же пассы
_http://dl.dropbox.com/u/209/zxcvbn/test/index.html
_http://lastbit.com/pswcalc.asp
_http://howsecureismypassword.net/

 

Мой пароль сбрутят за "About 6 novemvigintillion years".

 

нет теперь твой пароль в базе и его сбрутят сразу

 

Тоже занимался этими хешами, только нашёл чуть больше – 3 150 189 штук:

Code:

$ cat linkedin.pot | sort -u | wc -l
3150189

Автор темы, дело в том, что значительная часть утекших хешей "занулена" в начале (первые 20 бит), из-за этого они, разуеется, не берутся как простые sha1. Но даже незанулённых я нашёл поболее:

Code:

$ cat linkedin.pot | grep -v '$dynamic_26$00000' | sort -u | wc -l
434247

Статистика по длинам:

Code:

 6 559420
 7 521178
 8 1016304
 9 485733
10 277536
11 107306
12 50864
13 18934
14 8295
15 2845
16 1739
17 125
18 59
19 20
20 17
21 4
22 3
23 3
32 1
40 1

Картинка: http://imgur.com/rjyeO