Вернуться   SEO форум - оптимизация и продвижение сайтов > Web разработки > Безопасность

Важная информация
Безопасность - Помощь в обнаружении и удалении вредоносного кода с сайта. Устранение последствий взлома. Все о веб безопасности.

Ответ
 
Опции темы Оценить тему Опции просмотра
Старый 23.04.2013, 21:58   #1
 
Аватар для Alex LM
 
Сообщений: 973
FR (активность): 287,132

Доп. информация
По умолчанию Автор темы Брут паролей. Длительность взлома методом "полного перебора" (brute force)

Полный перебор (или метод «грубой силы», англ. brute force) — метод решения математических задач. Относится к классу методов поиска решения исчерпыванием всевозможных вариантов.

Пример продолжительности подбора паролей
В таблице представлено оценочное время полного перебора паролей в зависимости от их длины. Предполагается, что в пароле могут использоваться 36 различных символов (латинские буквы одного регистра + цифры), а скорость перебора составляет 100 000 паролей в секунду (класс атаки B, типичный для восстановления пароля из Кэша Windows (.PWL файлов) на Pentium 100)
Символ - Время
5 - 10 мин
6 - 6 часов
7 - 9 дней
8 - 10 мес
9 - 32 года
10 - 1161 год
11 - 41082 года
12 - 1.5 млн.лет
...
Проще говоря, 12 символьный сложный пароль довольно устойчив к бруту.


P.S.
Для новичков:
Оффтоп:
Речь о сложных паролях.
Вариант "123456123456" хоть и 12 символьный, брутом ("наиболее популярных паролей") может быть подобран очень быстро.
Если пароль "qwerty123456" Вас до сих пор не подводил, это лишь означает что никто не пробовал взломать Ваш акаунт (доступ).
jazbass, Jaga и Egoist: сообщение полезно


Alex Life Mix – путешествия
Часто задаваемые вопросы форума по SEO и близкой тематике - SEO FAQ
Alex LM вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
"Спасибо" от:
Egoist (24.04.2013), Дмитрий Сатаров (24.04.2013), СТЕПАН (23.04.2013)
Старый 23.04.2013, 22:29   #2
 
Аватар для leshii
 
Сообщений: 40
FR (активность): 482

Доп. информация
По умолчанию

Речь о паролях, которые локально хранятся или просто оценочные значения для общего развития? А то я плохо представляю веб сервис, который разрешит такой DDoS.
leshii вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 23.04.2013, 22:32   #3
 
Аватар для СТЕПАН
 
Сообщений: 1,655
FR (активность): 113,743

Доп. информация
По умолчанию

leshii, это теоритическая статистика. Речь не идет о конкретном примере веб ресурса. Просто статистика на примере того что если бы и так далее...
Грубо если сказать - то да о локальном методе подборе.


  • Обзор SEO софт для Вебмастера! | Антикапча лучшая RU сегменте
  • ZennoPoster 5 + Бонус шаблоны | Купить Key Collector со скидкой за 1100р
СТЕПАН вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
"Спасибо" от:
leshii (23.04.2013)
Старый 23.04.2013, 22:38   #4
 
Аватар для Unick
 
Сообщений: 711
FR (активность): 37,335

Доп. информация
По умолчанию

Я щас попробовал. Поставил на виндоус пароль:
Оффтоп:
?

это один символ, которого не существует на клавиатуре (Alt+4567)
Брутфануть не получится, не зная хитрости.


Upd. форум делает проверку на символы


andreisoroka.com
Unick вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 24.04.2013, 00:03   #5
 
Аватар для Umka
 
Сообщений: 4,143
FR (активность): 80,659

Доп. информация
По умолчанию

Оффтоп:
Цитата:
Сообщение от Alex LM Посмотреть сообщение
на Pentium 100
на Pentium 100 ?

Кулхацкеры есть? У меня тут в гараже несколько компов валяется, там точно Pentium 100 есть.
Продам. Два килобакса. Нет, три килобакса. Идеален для взлома паролей.
Пруфлинк: http://www.seocafe.info/bezopasnost/...tml#post225571
Umka вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
"Спасибо" от:
Alex LM (24.04.2013), OS_ZP_UA (24.04.2013)
Старый 24.04.2013, 00:16   #6
 
Аватар для Alex LM
 
Сообщений: 973
FR (активность): 287,132

Доп. информация
По умолчанию Автор темы

Оффтоп:
Цитата:
Сообщение от Umka Посмотреть сообщение
на Pentium 100 ?
Наверное, специалисты скажут более точно.

Но, вряд ли способности брута в условиях нынешней скорости передачи данных веба превзойдут вычислительные способности раритетного "пенька" (Pentium 100).


Alex Life Mix – путешествия
Часто задаваемые вопросы форума по SEO и близкой тематике - SEO FAQ
Alex LM вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 24.04.2013, 07:38   #7
 
Аватар для web-lab
 
Сообщений: 158
FR (активность): 15,487

Доп. информация
По умолчанию

представляю какие мощности нужны хотябы для того чтобы сгенерировать словари под 10-12 символьный пасс
web-lab вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 24.04.2013, 11:24   #8
 
Аватар для Umka
 
Сообщений: 4,143
FR (активность): 80,659

Доп. информация
По умолчанию

Alex LM, может этот "пентиум-100" что-то типа условной единицы, вроде лошадиной силы?

П.С. А вообще есть такой фактор, как везение. Было дело, подбирал пароль к БД. 10 знаков. Дуал ксеон, 8 гиг. В пятницу вечером запустил (без особых надежд на успех мероприятия), в понедельник пришел в офис - готово. Пароль достаточно сложный был. По моему так просто повезло, что при переборе какая-то из комбинаций быстро высветилась.
Umka вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
"Спасибо" от:
Старый 24.04.2013, 11:43   #9
 
Аватар для Jaga
 
Сообщений: 2,478
FR (активность): 81,809

Доп. информация
По умолчанию

Странно, что людям это дело удается. Тут регулярно свои пароли забываю и не могу из 10 вариантов подобрать В пору заказывать на себя брут паролей.
Да что там пароли, мыло просадил от акка в ник.юа. Домен продлить нужно, а где?


Кто в Яндекс продвигал, тот в цирке не смеется. народная мудрость

Со временем найдутся все
Jaga вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 24.04.2013, 11:44   #10
 
Аватар для cthulchu
 
Сообщений: 3,708
FR (активность): 120,615

Доп. информация
По умолчанию

так, давайте более популярные понятия. Чтобы понимать ситуацию глубже, вам нужно знать какую-то специфику. И так:

скорость брута паролей зависит, в первую очередь, от метода брута и метода получения ответа от проверяющего звена. К примеру, это может быть брутом админки, сайта, тогда, очевидно, что каждый раз мы будем выгружать html-страницу и парсить ее, чотбы понять - угадали, или нет. Это может быть брутом какого-то базового аутентификационного интерфейса, типа rdp,ssh, даже скайпика, или аськи - в таком случае, брут будет быстрее за счет того, что ответ от сервера гораздо короче. Но это все не сравнится со скоростью локального брута. О последнем приведу живой пример:

Мы взломали форум кафешки с целью взломать мыло Умки, надеясь, что у него пароль на форуме такой же, как пароль на мыльнике (это случается в 80% случаев, хотя не думаю, что умка мог бы так сплоховать). И так, форум кафешки - булка, которая хранит пароли в хеше md5, брутить который мы и собираемся. в чем суть хеширования? это сложно осознать неподготовленному уму, но факт в том, что хеширование от шифрования отличается тем, что хеширование - процесс необратимый. тобишь, мы можем получить хеш от пароля, но, даже зная, как мы получили этот хеш - мы никогда не сможем понять даже приблизительно, как выглядел пароль до процесса хеширования. единственный допустимый вариант - это брут этого хеша. ну и как частные решения - брут по осмысленному словарю и комбинациям (over 70% всех паролей) и брут по рейнбоу-таблицам (около 50% от всех паролей). Есть, так же, брут тривиальный - брут перебором по заданной маске брута. Так вот, сам процесс брута хешей заключается в хешировании очередного пароля и сверке полученного хеша со взламываемым, если хеш совпал, то мы знаем пароль Умки и можем попробовать авторизоваться в мыльнике.

Скорость перебора хешей зависит от используемого софта и железа. может достигать на игровых десктопах с кудой и спаренными карточками до 10 миллиардов паролей в секунду. может и выше. тогда как брут паролей по сети зависит от скорости Сетевого соединения, настроек фаерволла и веб-сервера сайта, степени распределенности брута и так далее, что, очевидно, на несколько порядков дольше. на самом деле, думаю, тысяч в сто раз дольше. в основном, из-за того, что скорость сетевых интерфейсов невероятно уступают скорости шин на материнке. Да и сам протокол передачи данных включает многократное капсулирование для адекватной маршрутизации.

веб-интерфейсы и интерфейсы аутентификационные, более низкого уровня, чаще всего, из-за сложности брута, брутят маленьким словариком, типа, самые популярные пароли. получают около 0.01-0.001% вероятности успеха, что очень хорошо при правильном подходе и окупает себя сторично. окупает не из-за прибыльности, а из-за дешевизны методов.


Вон, Уник прав, добавление какого-то спец.символа, которого нету на клаве - практически полностью обезопасит от брута
cthulchu вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
"Спасибо" от:
Jaga (24.04.2013)
Старый 24.04.2013, 11:52   #11
 
Аватар для Jaga
 
Сообщений: 2,478
FR (активность): 81,809

Доп. информация
По умолчанию

Оффтоп:
Ничерта не понял но удовольствие получил. Как песню на испанском послушал
Цитата:
скорость сетевых интерфейсов невероятно уступают скорости шин на материнке. Да и сам протокол передачи данных включает многократное капсулирование для адекватной маршрутизации.
веб-интерфейсы и интерфейсы аутентификационные, более низкого уровня, чаще всего, из-за сложности брута, брутят маленьким словариком


Кто в Яндекс продвигал, тот в цирке не смеется. народная мудрость

Со временем найдутся все
Jaga вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 24.04.2013, 11:53   #12
 
Аватар для Umka
 
Сообщений: 4,143
FR (активность): 80,659

Доп. информация
По умолчанию

Оффтоп:
Цитата:
Сообщение от cthulchu Посмотреть сообщение
Мы взломали форум кафешки с целью взломать мыло Умки, надеясь, что у него пароль на форуме такой же, как пароль на мыльнике
Ты будешь смеяться, но я вообще не помню какой у меня пароль на форуме.
Я какую-то хрень-бебень вбил, сохранил в менеджере паролей в опере и забыл.
Надысь хотел с другого компа зайти - и не смог вспомнить.
Короче, если взломаешь - вышли мне, хоть знать буду.

cthulchu, фактор везения при бруте есть или нет?
СТЕПАН: сообщение полезно
Umka вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
"Спасибо" от:
OS_ZP_UA (24.04.2013)
Старый 24.04.2013, 11:57   #13
 
Аватар для cthulchu
 
Сообщений: 3,708
FR (активность): 120,615

Доп. информация
По умолчанию

есть, конечно. я в детстве много аськи брутил, - попадались быстрые жертвы. но на везение нечего рассчитывать - лучше включать голову и опираться на теор.вер. она очень связана с криптографией. да, собственно, как и в жизни - на везение и богов рассчитывают лентяи.

по поводу твоего пароля - у меня тоже бывает такое, что не могу вспомнить пароль в опере. юзай софтинку unwand - она расшифровывает wand.dat, в котором опера шифрует пароли пользователей.
cthulchu вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
"Спасибо" от:
Umka (24.04.2013)
Ответ

Быстрый ответ
Ваше имя пользователя: Регистрация. Для входа нажмите здесь
Случайный вопрос

Сообщение:
Опции
Внимание!
Этой теме более 3312 дней. Вы можете оставить сообщение здесь. Но, обращаем внимание. Возможно, рациональней создать новую тему (найти свежее обсуждение)?


Опции темы
Опции просмотра Оценка этой теме
Оценка этой теме:

Ваши права в разделе
Вы не можете создавать новые темы
Вы можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
RDS - Узнай историю изменения "тИЦ" и "Индекса Яндекса" любого сайта! RDS bar Софт оптимизатора, SEO утилиты 9 05.03.2012 10:18
Продаю качественные статьи по тематикам "пластиковые окна" и "металлические двери". mroptimizer Тексты/Статьи 0 27.05.2011 14:22

Текущее время: 13:21. Часовой пояс GMT +3.