Статьи Пароли, любимые пользователями Icq,mail,blogов

Discussion in 'Статьи' started by devton, 29 Oct 2007.

  1. devton

    devton Elder - Старейшина

    Joined:
    26 Oct 2007
    Messages:
    3,371
    Likes Received:
    5,124
    Reputations:
    48
    Паршивые овцы в стаде паролей

    Что-то пробило меня на креативные названия. В этой статейке поговорим о классе паролей «АЛГОРИТМИЧЕСКИ ГЕНЕРИРУЕМЫЕ». Причем не обо всех, а о популярных.
    К алгоритмически генерируемым паролям в нашем случае относятся все те, вордлист из которых можно сгенерить куском программного кода, а не собрать из различного рода словарей/источников/листов. Интересны они потому, что составляют 3% от всего множества паролей, используемых простыми юзверями каждый день. А еще вордлист из таких паролей (на пару сотен мегов или даже несколько гигов) может быть легко сгенерен программой/скриптом из нескольких десятков строк кода.
    Мне, например, не составило труда пару лет назад написать несколько однотипных генераторов вордлистов такого типа на Паскале. Код убогий, язык программирования уже почти мертв, но продукт получился весьма полезным. Программка генерит вордлисты из паролей вида ASZXSWE, RFDCSERDC, GHUYTGFV, JKMNBG – т.е. расположенных близко на клавиатуре. Вторая прога из этого архива делает по-сути тоЖе, но генерит пароли из рядом стоящих цифр (14578,45695, и т.п.). Проги в свое время получились, как мне казалось, откровенно ламерскими. Поэтому я до сентября не выкладывал их широкой общественности, а периодически и с переменным успехом использовал для мелких взломов (за 2 года мне поддались 2 раровских архива с фотографиями и несколько SAM-ов).
    Выложить в паблик эти проги меня побудило вот что: летом от нечего делать я проверял на практике распространенность различного рода паролей. Делалось это с широкого институтского канала (затрояненные компы под управлением ХРюши), домашних компов троих добровольцев. Продолжалось около недели. За этот период мы пытались подобрать пароль к 120.000 девятизначных ICQ-юинов. На каждый юин пришлось в среднем по 300 попыток подбора пароля. Большая часть паролей – сгенеренные моими прогами. Предпочтение отдавалось цифровым паролям.

    Недельный тест дал почву для размышлений и бесценную статистику:
    -из 120.000 вскрылось 936
    -из вскрытых 18 оказались откровенно ламерскими (типа Natasha, 1111, итп)
    -918 из вскрытых принадлежали к АЛГОРИТМИЧЕСКИ ГЕНЕРИРУЕМЫМ
    -0,765% всех уинов вскрылись (!при среднем количестве попыток на уин 300)

    А это значит вот что: в реальности процент АЛГОРИТМИЧЕСКИ ГЕНЕРИРУЕМЫХ паролей может быть близок к 3% (или даже больше!) от общего количества. Я проверил это на практике на примере Аси. Я уверен, что эта закономерность распространяется и на прочие сервисы типа ЛЖ, майлов, итп – все те, где пользователь сам волен выбирать пароль.

    Теперь, когда у тебя есть эта бесценная :) инфа, !!готовый софт, жирный интернет-канал – подумай какие возможности в области хака ты обрел.

    P.S. изначально опубликовано 23.10.2007 (http://denied-root.org/forum/showthread.php?p=566) Devton
     
    #1 devton, 29 Oct 2007
    Last edited: 5 Apr 2018
    13 people like this.
  2. ЛифчиС5СВ

    ЛифчиС5СВ Elder - Старейшина

    Joined:
    9 Mar 2007
    Messages:
    164
    Likes Received:
    141
    Reputations:
    12
    прЫкольная статейка =)) правда на одних только паролях с таким процентом успешности вскрытия - далеко не уедешь ;) но ++ заслужил
     
  3. Underwit

    Underwit Banned

    Joined:
    6 Oct 2006
    Messages:
    191
    Likes Received:
    137
    Reputations:
    16
    На статью не тянет, просто аналитика.
    PS. самый крутой пароль qwerty
     
    1 person likes this.
  4. devton

    devton Elder - Старейшина

    Joined:
    26 Oct 2007
    Messages:
    3,371
    Likes Received:
    5,124
    Reputations:
    48
    Хай, эвриван. даже если не тянет на статейку, наблюдение полезное. Я на практике проверил популярность qwerty-подобных паролей.
    цЫфра в 3-4% от общего количества означает, что масс-брут на такие пароли - эффективный способ сбора аккаунтов.
     
  5. HornetBlack

    HornetBlack Member

    Joined:
    28 Oct 2007
    Messages:
    27
    Likes Received:
    13
    Reputations:
    15
    Я уже нашел круче (к админке) - QWERTY321 :)
     
  6. devton

    devton Elder - Старейшина

    Joined:
    26 Oct 2007
    Messages:
    3,371
    Likes Received:
    5,124
    Reputations:
    48
    Мда. Как нашел? Ручками и мозгом али прогу типа моей юзал?
     
  7. devton

    devton Elder - Старейшина

    Joined:
    26 Oct 2007
    Messages:
    3,371
    Likes Received:
    5,124
    Reputations:
    48
    Ну так ктоНить уже пробовал применять прграмму наПрактике?
    с такими вордлистами можно ж и архивы и самы локально брутить. Ивсякие онлайн- аккаунты типа мыла/аси/блогов ламать

    я лично кучу навскрывал ( читай выше :) )

    неужто ниукаго не палучилось??
     
  8. devton

    devton Elder - Старейшина

    Joined:
    26 Oct 2007
    Messages:
    3,371
    Likes Received:
    5,124
    Reputations:
    48
    П.с. может я хренова в тектсе выделил НО там есть сцыла на готовую прогу
     
    #8 devton, 11 Nov 2007
    Last edited: 5 Apr 2018
  9. PH03n1X

    PH03n1X New Member

    Joined:
    28 Dec 2007
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    Ламеры еще очень часто используют Q1w2e3r4 и т.д.
     
  10. Sn1ckers

    Sn1ckers New Member

    Joined:
    11 Nov 2007
    Messages:
    13
    Likes Received:
    2
    Reputations:
    0
    еще может быть qqqq
     
  11. devton

    devton Elder - Старейшина

    Joined:
    26 Oct 2007
    Messages:
    3,371
    Likes Received:
    5,124
    Reputations:
    48
    насчет Q1w2e3r4 и прочих подобных паролей...
    именно любовь ламерков к подобным легковбиваемым и запоминаемым паролям и побудила меня написать прогу wordlist_gen :)
     
  12. Mr. P.S.

    Mr. P.S. Elder - Старейшина

    Joined:
    27 May 2007
    Messages:
    179
    Likes Received:
    296
    Reputations:
    35
    Ламеры - есть ламеры))

    +
     
    8 people like this.
  13. Dumkopff

    Dumkopff Elder - Старейшина

    Joined:
    5 Apr 2006
    Messages:
    60
    Likes Received:
    25
    Reputations:
    0
    ничему не научился. скачал какую-то программу. тс, объясните пжалста, какого хера тред делает в статьях? ну хотя.. канал у мну вроде ниче =-\ ща нагенерим паролей и бум всех хекать! ога.
     
  14. Ch3ck

    Ch3ck Elder - Старейшина

    Joined:
    9 Jun 2006
    Messages:
    1,363
    Likes Received:
    1,192
    Reputations:
    430
    Всю жизнь такие ставлю... ;) ламер... хули.
     
  15. $n@ke

    $n@ke Elder - Старейшина

    Joined:
    18 Sep 2006
    Messages:
    696
    Likes Received:
    404
    Reputations:
    134
    /me покраснел

    ставить пароли типа Wh4tD4F4Ck

    а реаьно, пароли типа admin,mypass и т.п. - преобладаают у обычных юзеров.))
     
  16. Gen1rus

    Gen1rus Elder - Старейшина

    Joined:
    13 Jun 2007
    Messages:
    97
    Likes Received:
    166
    Reputations:
    20
    123456 рулит)))
    девяток для спама/флуда можно приличное количество набрутить
     
  17. te$t

    te$t Elder - Старейшина

    Joined:
    8 Aug 2007
    Messages:
    38
    Likes Received:
    35
    Reputations:
    5
    хз. как у вас, ну у меня при бруте дедиков и проксиков чаще всего ловятся на пароль 1234, admin. ;)
     
  18. гейлордфакерЪ

    гейлордфакерЪ Elder - Старейшина

    Joined:
    28 Sep 2006
    Messages:
    416
    Likes Received:
    296
    Reputations:
    -20
    я уже кдето читал подобное но +1
     
  19. SchmeL

    SchmeL Elder - Старейшина

    Joined:
    16 Jun 2007
    Messages:
    64
    Likes Received:
    38
    Reputations:
    5
    мда...а попробуйте вбить диапозон чисел с 76-97 годы. обычно ставять свой день рождения или какую нить дату. у многих знакомых пасс стоит собственная днюха...
     
  20. devton

    devton Elder - Старейшина

    Joined:
    26 Oct 2007
    Messages:
    3,371
    Likes Received:
    5,124
    Reputations:
    48
    Насчет денюх совершенно верно. Я уже 3! аккаунта виртуальных знакомых вскрыл на пароль-дату. Счас постю со смарта, но как добирусь домой - выложу малюсенький архив с нагенеренными вордлистами-датами - штука реально из категории МастХэв