Статьи Пароли, любимые пользователями Icq,mail,blogов

Паршивые овцы в стаде паролей

Что-то пробило меня на креативные названия. В этой статейке поговорим о классе паролей «АЛГОРИТМИЧЕСКИ ГЕНЕРИРУЕМЫЕ». Причем не обо всех, а о популярных.
К алгоритмически генерируемым паролям в нашем случае относятся все те, вордлист из которых можно сгенерить куском программного кода, а не собрать из различного рода словарей/источников/листов. Интересны они потому, что составляют 3% от всего множества паролей, используемых простыми юзверями каждый день. А еще вордлист из таких паролей (на пару сотен мегов или даже несколько гигов) может быть легко сгенерен программой/скриптом из нескольких десятков строк кода.
Мне, например, не составило труда пару лет назад написать несколько однотипных генераторов вордлистов такого типа на Паскале. Код убогий, язык программирования уже почти мертв, но продукт получился весьма полезным. Программка генерит вордлисты из паролей вида ASZXSWE, RFDCSERDC, GHUYTGFV, JKMNBG – т.е. расположенных близко на клавиатуре. Вторая прога из этого архива делает по-сути тоЖе, но генерит пароли из рядом стоящих цифр (14578,45695, и т.п.). Проги в свое время получились, как мне казалось, откровенно ламерскими. Поэтому я до сентября не выкладывал их широкой общественности, а периодически и с переменным успехом использовал для мелких взломов (за 2 года мне поддались 2 раровских архива с фотографиями и несколько SAM-ов).
Выложить в паблик эти проги меня побудило вот что: летом от нечего делать я проверял на практике распространенность различного рода паролей. Делалось это с широкого институтского канала (затрояненные компы под управлением ХРюши), домашних компов троих добровольцев. Продолжалось около недели. За этот период мы пытались подобрать пароль к 120.000 девятизначных ICQ-юинов. На каждый юин пришлось в среднем по 300 попыток подбора пароля. Большая часть паролей – сгенеренные моими прогами. Предпочтение отдавалось цифровым паролям.

Недельный тест дал почву для размышлений и бесценную статистику:
-из 120.000 вскрылось 936
-из вскрытых 18 оказались откровенно ламерскими (типа Natasha, 1111, итп)
-918 из вскрытых принадлежали к АЛГОРИТМИЧЕСКИ ГЕНЕРИРУЕМЫМ
-0,765% всех уинов вскрылись (!при среднем количестве попыток на уин 300)

А это значит вот что: в реальности процент АЛГОРИТМИЧЕСКИ ГЕНЕРИРУЕМЫХ паролей может быть близок к 3% (или даже больше!) от общего количества. Я проверил это на практике на примере Аси. Я уверен, что эта закономерность распространяется и на прочие сервисы типа ЛЖ, майлов, итп – все те, где пользователь сам волен выбирать пароль.

Теперь, когда у тебя есть эта бесценная инфа, !!готовый софт, жирный интернет-канал – подумай какие возможности в области хака ты обрел.

P.S. изначально опубликовано 23.10.2007 (http://denied-root.org/forum/showthread.php?p=566) Devton

 

прЫкольная статейка =)) правда на одних только паролях с таким процентом успешности вскрытия - далеко не уедешь но ++ заслужил

 

На статью не тянет, просто аналитика.
PS. самый крутой пароль qwerty

 

Хай, эвриван. даже если не тянет на статейку, наблюдение полезное. Я на практике проверил популярность qwerty-подобных паролей.
цЫфра в 3-4% от общего количества означает, что масс-брут на такие пароли - эффективный способ сбора аккаунтов.

 

Я уже нашел круче (к админке) - QWERTY321

 

Мда. Как нашел? Ручками и мозгом али прогу типа моей юзал?

 

Ну так ктоНить уже пробовал применять прграмму наПрактике?
с такими вордлистами можно ж и архивы и самы локально брутить. Ивсякие онлайн- аккаунты типа мыла/аси/блогов ламать

я лично кучу навскрывал ( читай выше )

неужто ниукаго не палучилось??

 

П.с. может я хренова в тектсе выделил НО там есть сцыла на готовую прогу

 

Ламеры еще очень часто используют Q1w2e3r4 и т.д.

 

еще может быть qqqq

 

насчет Q1w2e3r4 и прочих подобных паролей...
именно любовь ламерков к подобным легковбиваемым и запоминаемым паролям и побудила меня написать прогу wordlist_gen

 

Ламеры - есть ламеры))

+

 

ничему не научился. скачал какую-то программу. тс, объясните пжалста, какого хера тред делает в статьях? ну хотя.. канал у мну вроде ниче =-\ ща нагенерим паролей и бум всех хекать! ога.

 

Всю жизнь такие ставлю... ламер... хули.

 

/me покраснел

ставить пароли типа Wh4tD4F4Ck

а реаьно, пароли типа admin,mypass и т.п. - преобладаают у обычных юзеров.))

 

123456 рулит)))
девяток для спама/флуда можно приличное количество набрутить

 

хз. как у вас, ну у меня при бруте дедиков и проксиков чаще всего ловятся на пароль 1234, admin.

 

я уже кдето читал подобное но +1

 

мда...а попробуйте вбить диапозон чисел с 76-97 годы. обычно ставять свой день рождения или какую нить дату. у многих знакомых пасс стоит собственная днюха...

 

Насчет денюх совершенно верно. Я уже 3! аккаунта виртуальных знакомых вскрыл на пароль-дату. Счас постю со смарта, но как добирусь домой - выложу малюсенький архив с нагенеренными вордлистами-датами - штука реально из категории МастХэв