Брутфорс: под толстым слоем пыли
разное, 18.04.2009 Суббота, 06:59
Теги:
Теги:
Недавно один из моих знакомых сказал, что из за некоторых дыр в защите uNet авторизации стало возможным легко брутить пароли к сайтам на ucoz. Я на всякий случай поменял мой бывший пароль (7 символов) на новый (15 символов), а потом задумался "А какие вообще шансы у злоумышленника взломать мой сайт?". И вот о чем я подумал:
Первый, самый простой вариант взлома - кража cookie. Хотя после обновления возможно уже убрали эту дырку, и простая подстановка печенек не поможет. В любом случае для того, чтобы украсть печеньки, нужно хорошее представление например о xss, а ucoz в этом плане одна из самых безопасных систем..
Второй вариант - так называемая социальная инженерия. Взлом благодаря человеческому фактору. Цель взлома - получить пароли от самой жертвы путем обмана. Со мной это не сработает, благо опыт есть.
Третий вариант - брутфорс. Тут то я и задумался. Пароль у меня хоть и 15 символов (максимум для ucoz), но вдруг его возможно подобрать? Недолго думая настрочил скриптик, который высчитывает время, за которое в идеальном случае можно просчитать все возможные комбинации заданного типа пароля. Под идеальным случаем я подразумеваю случай, когда мы знаем, сколько символов в пароле и какие типы символов там содержатся, то есть цифровой ли это пароль или содержит буквы, а возможно и регистрозависим.
Вот сама программа. Можно либо вписать свой пароль и проверить его на взламываемость либо просто задать параметры пароля если вы мне (хе-хе) не доверяете. Сразу замечу, что ваши пароли я воровать не собираюсь. В самое первое поле необходимо вписать количество проверок в секунду. К примеру на своем компьютере какой ни будь rar архив возможно взламывать со скоростью 800 - 1000 проверок в секунду. А вот на uNet я думаю максимум будет 2-3 попытки, хотя и не ручаюсь точно. Итак: Проверив свой пароль таким способом я успокоился. Ведь при условии, что мой сайт будет взламываться со скоростью - 3 проверки в секунду с одного компьютера, перебор всех мыслимых комбинаций займет... 200 миллионов лет. За это время успеет потухнуть солнце. А как быстро взламываются ваши пароли?
Первый, самый простой вариант взлома - кража cookie. Хотя после обновления возможно уже убрали эту дырку, и простая подстановка печенек не поможет. В любом случае для того, чтобы украсть печеньки, нужно хорошее представление например о xss, а ucoz в этом плане одна из самых безопасных систем..
Второй вариант - так называемая социальная инженерия. Взлом благодаря человеческому фактору. Цель взлома - получить пароли от самой жертвы путем обмана. Со мной это не сработает, благо опыт есть.
Третий вариант - брутфорс. Тут то я и задумался. Пароль у меня хоть и 15 символов (максимум для ucoz), но вдруг его возможно подобрать? Недолго думая настрочил скриптик, который высчитывает время, за которое в идеальном случае можно просчитать все возможные комбинации заданного типа пароля. Под идеальным случаем я подразумеваю случай, когда мы знаем, сколько символов в пароле и какие типы символов там содержатся, то есть цифровой ли это пароль или содержит буквы, а возможно и регистрозависим.
Вот сама программа. Можно либо вписать свой пароль и проверить его на взламываемость либо просто задать параметры пароля если вы мне (хе-хе) не доверяете. Сразу замечу, что ваши пароли я воровать не собираюсь. В самое первое поле необходимо вписать количество проверок в секунду. К примеру на своем компьютере какой ни будь rar архив возможно взламывать со скоростью 800 - 1000 проверок в секунду. А вот на uNet я думаю максимум будет 2-3 попытки, хотя и не ручаюсь точно. Итак: Проверив свой пароль таким способом я успокоился. Ведь при условии, что мой сайт будет взламываться со скоростью - 3 проверки в секунду с одного компьютера, перебор всех мыслимых комбинаций займет... 200 миллионов лет. За это время успеет потухнуть солнце. А как быстро взламываются ваши пароли?
то пароль.......