¿Es más fácil forzar la fuerza bruta una contraseña si contiene un patrón de repetición?

Navega tus respuestas
4

Mi pregunta es diferente de esta pregunta anterior: ¿Repetir una palabra para formar una contraseña da como resultado un patrón similar en su formato cifrado? . Me estoy preguntando específicamente acerca de los ataques de fuerza bruta. Según mis experiencias con John The Ripper , dudo que repetir un patrón en una contraseña acorte el tiempo para forzar con éxito la fuerza bruta contraseña como f00B @ rf00B @ rf00B @ r en lugar de una cadena aleatoria de igual longitud. Sin embargo, mi duda se basa en el hecho de que, de acuerdo con la documentación , JTR no incluye una Modo de ataque para repetir patrones. JTR, y presumiblemente otras herramientas de fuerza bruta, pueden personalizarse para cualquier modo de ataque arbitrario. Pero no podemos saber con qué frecuencia los atacantes se molestan en personalizar los ataques de esta manera. Entonces la pregunta se vuelve matemática. Por favor, perdona la incómoda notación pseudo-matemática. 

T = brute force cracking time

PL = pattern of characters of length L

N = number of times PL is repeated

R(LN) = string of random characters of length (L times N)

¿Sería cierto que 

T(PL*N)= T(R(LN))

Si es verdadero, entonces una contraseña de patrón repetido no afectaría el tiempo de craqueo de fuerza bruta. ¿Pero es verdad?

    
pregunta Luke Sheppard 13.10.2012 - 20:06
fuente

2 respuestas

7

Hay tres escenarios aquí:

El atacante no tiene conocimiento del esquema de patrones:
Cuando el atacante no tiene conocimiento de los patrones, el intento de fuerza bruta tendrá que ser exhaustivo. El atacante no obtiene una mejora de eficiencia práctica, porque no hay forma de que sepa la construcción de la contraseña.

El atacante tiene algún conocimiento completo del esquema de patrones:
Si el atacante tiene conocimiento de los patrones, puede mejorar la eficiencia de su ataque de fuerza bruta al no intentar contraseñas que no coincidan con el esquema del patrón.

El atacante no tiene conocimiento inicial del esquema de patrones y hay varios hashes disponibles:
Si el atacante no tiene un conocimiento inicial del patrón, pero tiene un número de hashes de contraseña diferentes para descifrar (todos los cuales usan el mismo esquema para la contraseña), puede descifrar un pequeño número de ellos a través de la fuerza bruta exhaustiva y luego deducir el patrón. A partir de ahí, el ataque se vuelve mucho más eficiente.

    
respondido por el Polynomial 14.10.2012 - 11:08
fuente
4

El conocimiento del patrón de contraseña podría darle una gran velocidad en el método de fuerza bruta. Si sabe, esa contraseña de fuerza bruta es una contraseña de patrón repetitivo, puede reducir el tiempo de craqueo.

Si sabe que la contraseña consta de N las mismas partes, entonces, todo lo que tiene que hacer es encontrar esa parte. Entonces, para acelerar el proceso de craqueo, necesita agregar algunas líneas a su función de fuerza bruta. Digamos que el algoritmo de fuerza bruta verificó si su contraseña es abba . Antes de dejar que vaya al otro paso (marcando abbb ), debe "pegar" y probar contraseñas como abbaabba , abbaabbaabba , etc.

    
respondido por el p____h 13.10.2012 - 22:07
fuente

Lea otras preguntas en las etiquetas

¿Cómo determinar si los datos de JPG EXIF han sido modificados por el software "OEM" (sin herramientas de terceros)? ¿Aplicaciones Java vulnerables? [cerrado]