¿Los crackers de contraseñas / ataques de fuerza bruta otorgan mayor prioridad a las "contraseñas de imágenes"?

Navega tus respuestas
4

Hace algún tiempo vi una publicación en reddit sobre alguien con el nombre de usuario aparentemente muy aleatorio "78523965412369874123":

Sirastreaesosnúmerosenuntecladonuméricohabitual,sedeletreaunaesvásticaconunrecuadroalrededor.

SéporlapantalladebloqueodepatróndeAndroid,queexisten 389112 combinaciones de pantalla de bloqueo para una matriz de 3x3.

Editar: Debes tener en cuenta que la pantalla de bloqueo del patrón tiene algunas limitaciones, ya que el patrón debe ser un movimiento continuo, por lo tanto, no está permitido saltar. En el ejemplo de esvástica, el usuario puede saltar, comenzar de nuevo, etc., por lo que las posibles combinaciones deberían ser mucho más altas.

Cálculo: 

Moves = 4, combinations = 1624
Moves = 5, combinations = 7152
Moves = 6, combinations = 26016
Moves = 7, combinations = 72912
Moves = 8, combinations = 140704
Moves = 9, combinations = 140704

Total possibilities: 1624 + 7152 + 26016 + 72912 + 140704 + 140704 = 389112

Resulta que los usuarios tienden a preferir contraseñas visualmente atractivas , que son fáciles de navegar por los hombros y también fáciles de adivinar basados en puntos de borrón, ya que le ofrecen un posible punto final / inicio, lo que reduce drásticamente el espacio de búsqueda.

De vuelta a la esvástica: dado que las personas tienden a usar contraseñas visualmente atractivas, ¿una clave o un forzador de contraseñas daría mayor prioridad a esas "contraseñas visuales" en un teclado o un teclado numérico?

¿Hay listas para eso?

¿Debo recomendar a las personas de mi empresa que no utilicen contraseñas visuales que representan algo? Debido a que la mayoría de las pautas de passwort se centran en no usar palabras de diccionario o términos generalizados.

Edición 2:

Mi pregunta no se limita al teclado numérico. Deben considerarse todos los dispositivos en los que puede escribir.

Las contraseñas visuales pueden ser mucho más largas que las contraseñas habituales, que se encuentran en un diccionario. Ya que los "pintas" y solo tienes que recordar la forma visual, creo que podría haber contraseñas con 20 dígitos o más.

Por lo general, un forzador bruto no verificará esas contraseñas largas, pero si hubiera una lista de "formas visuales tipificables", de repente un forzador bruto podría verificar palabras realmente largas, ya que solo hay tantas formas visuales. Formas que escribes en un teclado.

Vea el ejemplo aquí:

Esteejemploexplica"¡Genial!", que se vería así si se escribiera:

EWAZXTRDCVGYGBNJUIK,.P;/ - 24 símbolos.

PD: no soy un hablante nativo de inglés y no estoy muy satisfecho con los términos "contraseñas de imágenes", "contraseñas visuales", ... pero a pesar de investigar de antemano no encontré una más adecuada nombre para lo que quiero decir. Hay alguno mejor? ¿Debo cambiar el título de mi publicación?

    
pregunta hamena314 05.08.2016 - 12:04
fuente

5 respuestas

2

Entonces, si puedo reiterar lo que está preguntando, le gustaría saber un orden de cosas a adivinar priorizado que colocaría por delante de la fuerza bruta o la contraseña aleatoria. Además, le gustaría saber si alguien ha hecho esto aún para contraseñas basadas en patrones, y encontró un lugar óptimo para ellos en la prioridad de las herramientas de búsqueda de contraseñas.

La respuesta es doble. Sí, las personas han creado órdenes priorizadas de valores de contraseña para adivinar primero. Hace 20 años, "crack" apoyaba el dibujo de varios tipos de listas para facilitar la adivinación eficiente; en orden recuerdo:

  1. Diccionario de contraseñas previamente crackeadas
  2. Modificaciones a contraseñas previamente crackeadas
  3. Diccionario de contraseñas comunes
  4. Modificaciones a las contraseñas comunes
  5. Diccionario de todas las palabras en inglés
  6. Modificaciones a las palabras del diccionario
  7. Búsqueda secuencial de fuerza bruta

Las contraseñas previamente descifradas eran contraseñas recuperadas de una ejecución anterior de la herramienta, basadas en la evidencia de que las personas en un sistema a menudo solo alteran las mismas contraseñas con reglas simples, como aumentar el último dígito, etc. Las contraseñas comunes Se publicaron listas de contraseñas recuperadas de hacks y encuestas.

Las modificaciones de contraseña incluyeron elementos como reglas de sustitución, como "agregar un dígito de 0-9 al final de la palabra", "agregar un símbolo al final de la palabra", "sustituir @ por un", "sustituir 0 para o ", etc. Las modificaciones se pueden personalizar para cada diccionario; la idea era que la lista de contraseñas anterior era muy corta y, por lo tanto, se podía gastar más tiempo de CPU en muchas combinaciones y permutaciones de esas contraseñas que en variantes de palabras de diccionario aleatorias. (En aquel entonces, las CPU eran mucho más limitadas de lo que son hoy en día).

Para ser más específico en su instancia, no conozco ningún generador de contraseñas basado en patrones que pueda conectarse a una cadena de herramientas, pero eso no significa que no puedan existir.

Sin embargo, si las contraseñas basadas en patrones son tan comunes como teoriza, entonces esos patrones de dígitos o letras deberían aparecer en las contraseñas reveladas en varias de las violaciones recientes; ya que serían tratados como cualquier otra contraseña en la base de datos. Si fueran realmente comunes, el número de contraseñas aumentaría para ellos y lo más común flotaría hacia la parte superior de las listas.

Hace tiempo que vemos que algunos patrones aparecen en las listas comunes: 123456, qwerty, etc. Entonces, un argumento es que tal vez no tengamos que hacer nada especial para apoyar los patrones más sofisticados, porque tenemos pruebas de que naturalmente flotan hasta la cima para revelarse en la próxima brecha importante.

Pero eso no significa que tu idea no sea válida. Si comienza a trabajar en esto, le recomiendo que pruebe su código en una base de datos pública de contraseñas filtradas. Dependiendo de la cantidad que encuentre, podría ser un recurso muy valioso, o podría encontrar que la práctica es menos común de lo que pensaba.

    
respondido por el John Deters 09.08.2016 - 22:30
fuente
5

Muy bien podrían.

En realidad, depende del contenido del diccionario del cracker. La persona que maneja el cracking (como probablemente sepa) comenzará con un diccionario de palabras reales y contraseñas conocidas, luego, una vez agotados los diccionarios, el hacker comenzará a usar máscaras antes de realizar un ataque real de fuerza bruta.

Así que ahora que colocas esta publicación aquí, más hackers agregarán tales "contraseñas conocidas" en su diccionario. Si yo fuera uno, lo haría - ahora mismo

Ahora depende de la persona que rompe los hashes: no tienen los mismos diccionarios.

    
respondido por el niilzon 05.08.2016 - 13:57
fuente
2

No es el cracker de contraseñas el que asigna prioridad a las "contraseñas visuales", sino la tabla de arco iris utilizada.

Rainbow Table ( definition )

El énfasis para un ataque se basa en dos cosas, en qué hash / encriptación estás frenando (por ejemplo, MD5 , SHA1 . SHA2 ) y qué patrón de ataque está intentando romper (por ejemplo, alfabético, numérico, alfanumérico, alfanumérico / w símbolos). Esto generalmente se expresa en entropía según la cantidad de símbolos disponibles que uno puede usar para crear una contraseña.

Fisiología de la contraseña ( definición )

Este es básicamente el estudio de por qué seleccionamos contraseñas malas, y puedes encontrar mucha investigación sobre el tema. Los patrones son muy comunes en gran parte de lo que hace la mayoría de las personas.

Un ejemplo simple de esto es: 

qwerty

que si miras tu teclado es bastante obvio. Hay muchos patrones relacionados con este tipo de comportamiento, como 

1qa2ws3ed
123qweasd
/.,mnbvcc
-[0p9o8i7

Demasiados sistemas de contraseñas, son contraseñas moderadas, pero si las escribes en el teclado, verás la lógica simple detrás de ellas.

Listas de contraseñas

Ya que no planeo mostrarte cómo comprar o comprar estas listas (no es que Google no pueda hacer que te miren), creo que cualquier analizador de penetración estaría de acuerdo, comienzas con lo básico (por ejemplo, Tabla de arco iris con las 1200 contraseñas más comunes) y su modificación según el objetivo.

Summary

Los crackers OOTB como JTR usan listas de ataque generales, o fuerza bruta al adivinar contraseñas. Muchos crackers pueden complementarse con listas definidas por el usuario que pondrían el énfasis en los patrones de su elección. Tu teoría de patrones es realmente la cantidad de listas de contraseñas que se generan, porque la gente realmente estudia cómo las personas crean contraseñas. No vemos mucho las cosas como el ejemplo de la esvástica, porque la probabilidad no pesa a favor de otros patrones de ataque más comunes.

    
respondido por el Shane Andrie 09.08.2016 - 22:44
fuente
0
  

De vuelta a la esvástica: dado que las personas tienden a usar contraseñas visualmente atractivas, ¿una clave o contraseñas brutas daría mayor prioridad a esas "contraseñas visuales" en un teclado o un teclado numérico?

     

¿Hay listas para eso?

Podrían generarse programáticamente con algunas estadísticas. Pero ¿cuál es el punto? ¿Por qué limitarías tu análisis a este ataque en particular?

Una lista de contraseñas comunes ya incluirá todas las contraseñas "con patrones" comunes, y sería fácil dado el diseño del teclado / teclado para calcular diferentes rotaciones de ellas.

Esto sería un ataque combinado de diccionario / fuerza bruta, donde tomas tu diccionario y computas diferentes variaciones en sus elementos.

Cuando las personas hablan sobre ataques de diccionario, los atacantes no están usando literalmente un diccionario. Es preferible utilizar una lista de contraseñas comunes previamente conocidas . Estas listas generalmente se construyen a partir de brechas anteriores, como la linkedin infracción que hizo las portadas de este año.

También, consulte este documento de la Universidad de Cambridge. Mientras se enfocan los pines de 4 dígitos, los mismos principios podrían aplicarse a números más grandes.

Tenga en cuenta que las contraseñas solo numéricas suelen ser PIN, donde existen protecciones adicionales para compensar la baja entropía inherente a este tipo de entrada:

  • retraso creciente entre cada intento fallido
  • número máximo de intentos antes de ser bloqueado
  • análisis de riesgos y otras heurísticas
  

¿Debo recomendar a las personas de mi empresa que no utilicen contraseñas visuales que representan algo? Debido a que la mayoría de las pautas de passwort se centran en no usar palabras de diccionario o términos generalizados.

La respuesta correcta depende de su modelo de amenaza, pero nuevamente, sería mejor que lo atendiera simplemente banning contraseñas comunes que ya incluirían las "con patrón" si son lo suficientemente comunes.

Ya que estamos en eso, tenga cuidado con su política de contraseña. Encuentre un buen equilibrio entre facilidad de uso y seguridad, o terminará perdiendo seguridad cuando sus usuarios comiencen a escribir sus contraseñas en notas post-it debajo del teclado.

    
respondido por el GnP 09.08.2016 - 18:35
fuente
0

Hace algunos años, cuando MySpace todavía estaba de moda (pero no obstante, en declive), un sitio de aplicación social que extendió las redes sociales (incluido MySpace) fue hackeado, revelando los nombres de usuario y las contraseñas de más de 30 millones de cuentas. Una consecuencia interesante del hack fue que, una vez que la lista estuvo disponible más tarde, los investigadores de seguridad de repente tuvieron una gran cantidad de datos disponibles sobre los hábitos de selección de contraseñas de los usuarios. 32 millones es una muestra bastante grande y exhaustiva, y muchos crackers de contraseñas están configurados para buscar primero patrones y contraseñas que el RockYou ataque reveló ser común.

Investigar qué contraseñas producen "imágenes" sería una cantidad de trabajo mayor de lo que valdría la pena cuando ya sabes por experiencia previa, la experiencia del hack de RockYou en particular, que los usuarios probablemente no puedan usa ese método.

    
respondido por el Bradley Evans 12.08.2016 - 17:34
fuente

Lea otras preguntas en las etiquetas

¿Cómo permite Blucoat Proxy a los gobiernos descifrar SSL? Ataque XSS típico 'cuadro de búsqueda'