Новый способ использования старого метода подбора паролей угрожает миллионам людей

Известные эксперты по компьютерной безопасности Нэйт Лоусон и Тейлор Нельсон предупредили о том, что популярные системы единой авторизации OAuth и OpenID, которые используются на многих ресурсах и, в частности, на Twitter, уязвимы к атаке, известной уже около 25 лет.

Метод взлома основывается на подсчете времени, которое уходит на ответ сервера после ввода паролей. В некоторых системах авторизации символы пароля проверяются по одному, при этом сообщение о неверном пароле посылается после обнаружения неподходящего символа. Это значит, что сервер реагирует на полностью неправильный пароль быстрее, чем на неправильный пароль с правильным первым знаком.

Перебирая пароли таким образом и оценивая время реакции на запрос, хакеры могут побуквенно определить точный пароль. Несмотря на кажущуюся фантастичность такой атаки, она уже была успешно применена на практике три года назад при взломе игровой системы Xbox 360, а производители смарт-карт встраивают защиту от подобного рода перебора уже не первый год.

Ранее считалось, что джиттер при передаче данных по сети сводит на нет попытки точного подсчета разницы во времени, однако Лоусон и Нельсон утверждают, что это не так. Исследователи провели совместное испытание собственного алгоритма подобной атаки, исключающего влияние джиттера, и сумели успешно взломать пароли в Интернет, локальной сети и в облачном окружении.

Рассказать о своей работе более подробно они намерены уже в этом месяце на конференции Black Hat в Лас-Вегасе.

 

грубая сила, с тонким чутьем прикольно..

 

бред. На любом популярном ресурсе, нагрузка на сервер скачет в зависимости от времени суток. Так что проверки надо делать в одно и тоже время. А при условии что общение идет через сеть, для хотя бы минимальной точность надо сделать от тысячи до миллиона одинаковых запросов....А это означает бан(или скорее ддос). И никакие соксы не спасут.

 

Оужас, какие-то сервисы хранят мои пароли без хеширования?! Пусть сначала оборачивают полученный пароль в md5, а потом хоть до усрачки сравнивают по одному символу.

 

это может касаться ssh доступа например, или тех же icq клиентов и прочего, и потом здесь нет никакой информации касаемой непосредственно шифрованных паролей, будет конфа, будет видней

 

к примеру до недавнего времени контакт хранил
И по ретиву на мыло присылал пасс..))
Да и есть щее проекты, которые болеют этим. Ачат например на 20% до недавнего времени был нешифруемым

 

а сейчас на 100?

 

На античате видео есть с таким методом подбора пароля

 

хаки-медвежаки)) улыбнуло

 

Ничего придумают новую защиту)
И будут новые брутеры.

 

оперативно работают