¿Existen técnicas o teorías de vanguardia específicamente para atacar frases de contraseña sobre contraseñas?

9

Dado que las frases de paso son cada vez más comunes debido a que la longitud es más importante que la complejidad, asumo que debe haber algún trabajo en curso que involucre técnicas dirigidas específicamente a craqueo / auditoría de frases que difieran en cierta medida de los métodos tradicionales para atacar contraseñas, tal vez involucrando Procesamiento de lenguaje natural , gramática, sintaxis, derivación, etc.

Me doy cuenta de que hay diferentes tipos de frases de contraseña y que las inventadas por los seres humanos deberían ser más susceptibles de ser atacadas que aquellas seleccionadas aleatoriamente de listas de palabras como como se sugiere en un reciente cómic web de XKCD .

¿Hay algunos recursos que puedo leer en la web para estar al tanto de lo que la gente está intentando y con lo que está teniendo éxito?

    
pregunta hippietrail 16.08.2011 - 11:00
fuente

4 respuestas

6

No sé qué tan avanzado es esto, pero el software de recuperación de contraseña Passcape se usa Un diccionario de ataque contra frases de contraseña. Esto es muy similar a un simple ataque de permutación de caracteres de fuerza bruta contra una contraseña, excepto que en su lugar se usan permutaciones de palabras de diccionario (una vez que se agotan las frases y citas comunes de películas, libros y poemas).

Como dice el artículo enlazado:

  

No sería una sobreestimación decir que el 99 por ciento del éxito en la recuperación de una contraseña con un ataque de diccionario depende de la calidad de los diccionarios.

Como tal, parece que una simple defensa contra este tipo de ataque sería incluir palabras que no aparecerían en ningún diccionario. Escribe mal las palabras, omite vocales, sustituye letras, etc.

    
respondido por el Bill the Lizard 16.08.2011 - 19:57
fuente
4

Ha solicitado anteriormente algunos documentos relacionados con el uso de Cadenas de Markov para realizar ataques de fuerza bruta, y sigo suponiendo que estás buscando técnicas para encontrar los frutos colgados.

No hay obstáculos para realizar un ataque de fuerza bruta utilizando cadenas de markov contra frases de contraseña. Solo usa palabras en lugar de caracteres como estados, en lo que podríamos llamar una máquina de estados finitos, que en realidad es una cadena de Markov.

Frases de contraseña formadas por palabras inglesas al azar. (¡Hay aproximadamente 600.000 de ellos! Pero para ser realistas, solo elegimos 10.000 que serían fáciles de recordar ...). Esto le da a la frase de contraseña la entropía de f (n) = 10000 ** n. Al comparar una frase de contraseña de 4 palabras con una contraseña de 8 caracteres (usando solo letras y dígitos), la frase de contraseña es 45 veces más difícil de descifrar por fuerza bruta pura (dado que el atacante y la víctima usan el mismo diccionario).

Pero, de vuelta a la fruta de baja altura. Dado que un usuario usa oraciones en lugar de palabras aleatorias, el uso de la cadena de markov para generar una secuencia de palabras, produciría la combinación más probable de palabras que se usan para formar oraciones. Se incluirían la gramática, la sintaxis, la derivación y demás.

Dado que no tenemos información sobre si los usuarios tienden a usar palabras u oraciones aleatorias para las frases de contraseña. Es difícil decidir qué método sería el más eficaz (diccionario bruteforce o markov en cadena bruta). Esto se debe a que una fuerza bruta de la cadena de Markov probablemente nunca podrá adivinar una secuencia de palabras que no esté incluida en su entrenamiento.

Las cadenas de Markov se usan a menudo en las PNL estáticas.

    
respondido por el Dog eat cat world 17.08.2011 - 17:38
fuente
3

Un estudio reciente titulado Efecto de la gramática en la seguridad de contraseñas largas parece ser relevante si las personas usan frases que existen en lenguaje natural.

Los autores utilizan Procesamiento de lenguaje natural sobre algunos corpus de palabras grandes para crear "reglas de etiquetado", que son secuencias como Pronoun, Noun, Adjective o Proper Noun, Verb, Adjective, Adjective . Usan el mismo corpus para hacer diccionarios de palabras etiquetadas por partes del habla. Luego realice una búsqueda de fuerza bruta utilizando las reglas de etiquetas y las palabras del diccionario más comunes.

Compararon la efectividad contra las galletas como John the Ripper y Hashcat. Su enfoque era comparable a los crackers existentes, pero mucho más amigable con la memoria. También se agrietó ~ 10% de las frases de paso no agrietadas por ninguna de las otras galletas. Los autores limitaron el número de intentos a 40E12, que es bastante bajo, por lo que esperaría que con más tiempo su algoritmo fuera significativamente mejor que los crackers basados en caracteres tradicionales y los conjuntos de reglas.

    
respondido por el ligos 13.02.2013 - 07:47
fuente
2

PasswordsPro de Insidepro.com le permite hacer eso con su "Ataque de diccionario combinado": Durante este ataque, las contraseñas se componen de varias palabras tomadas de diferentes diccionarios. Eso permite recuperar contraseñas complejas como "superadmin", "adminadmin", "secretpassword", "supersecretpassword", etc.

    
respondido por el Jam 17.08.2011 - 16:01
fuente

Lea otras preguntas en las etiquetas