cogito, ergo incognito

miképpen gazdagíthatjuk brute force listánkat jelszófeltörésre készülődve

2016. május 06. - gordiuszblog


2o13. májusát követően nem is igazi információbiztonsági újságíró az, aki nem posztolt legalább féltucat, biztonságos jelszavakról szóló cikket. Az információs és kommunikációs technológiai sajtótermés része lett a titkosítás pro és kontra elemzése. Megfelelő jelszavakról írni egyfajta beavatás a szakmában. Azonban a sok egyedi és kreatív ötlet, melyek inkább a kommentszekcióban születnek, megnehezítik a másik oldalon dolgozók mindennapjait.

Új algoritmusokra van szükség, hogy az un. gépi erejű - brute force technikával feltörni kívánt felhasználói profilok idő- és teljesítményigényes folyamatait optimalizálni lehessen. Noha a grafikus CPU-k már nem a határponthoz ért Bitcoin bányászattal vannak elfoglalva, a legkülönfélébb trükkökkel megalkotott új jelszavak feltörésére megoldást kell találni.

Villamos - mondjuk Blaha, Budapest. Kevés az ember, van aki csak bambul, van aki beszélget, a legtöbben persze nyomkodják a telefont. Egy ázsiai, turistának kinéző pár is együtt utazik a többiekkel - beszélgetnek, fotóznak. Néha azonban eltakarják a szájukat vagy közelebb hajolnak egymáshoz és hangjukat lehalkítva súgnak oda ezt-azt a másiknak..

Nem az a kérdés, hogy mit súgnak, hanem az, hogy miért súgják?
Hiszen a Blahán, a 6-oson, az internetbankjuk belépési azonosítóit el is énekelhetnék hangosan, többször, hátha valaki a takarékpénztár belépési oldalán 대한민국 karakterekkel próbálkozna..

Rájár a rúd a jelszófeltörő iparra. Lássuk, honnan szerezhetünk nagy mennyiségben jelszavakat, hogy elsősorban:

  • egy az egyben beemelhessük a több nyelvű, szótár alapú listánkba [plusz Csillagok háborúja szereplők és Gyűrűk Ura fogalmak] - mellyel jelszófeltörés esetén az általunk irányított esetleges zombihálózat végigpróbálkozik
  • másrészről pedig a poszt-Snowdeni idők új jelszóalkotási mechanizmusait egyszerre ismerhessük meg és építhessük be algoritmusainkba

nuthacker.jpg

A klasszikus módszereken kívül, az alábbiakhoz hasonló szolgáltatások üzemeltetésével, akár az eredeti célokkal teljesen ellentétes motiváció is megvalósítható. Érdemes mérlegelni használatukat, lehetséges, hogy gyakorlati hasznuk eltörpül, amennyiben veszélyforrásként is értékelhetőek.

howsecureismypassword.net, passwordmeter.com, betterbuys.com..

A fenti oldalak azt a szolgálatot vették magukra, hogy kiszámolják és szembesítsenek azzal, mennyire ócska a jelszavunk és milyen rövid idő alatt kitalálja azt bárki.

LastPass [2o11-o5.. FinSpy, 2o15-o7..], KeePass, Enpass

Csekélyke programozás és némi hírverés majd máris gyűjtögethetünk akár jelszómenedzser programmal is!

jelszógenerátor a böngészőben, passwordsgenerator.net

Ha megmondjuk, hogy mi legyen valakinek a jelszava, akkor azzal a karaktersorral próbálkozhatunk a későbbiekben is.

honlapok SSL nélkül

Olyan vepszálytok, melyekre be kell jelentkezni és az internetböngésző címsorában nem úgy kezdődik a címük, hogy httpS, hanem csak http - S, azaz secure nélkül.
Honlapok, melyek a felhasználói adatokat tálcán kínálva, szöveges fájlként tárolják valami elavult verziót futtató szerveren.

Hasonló elven működtethető a haveibeenpwned.com oldalhoz hasonló szolgáltatás is, ahol azt nézhetjük meg, hogy e-mail címünk vagy felhasználónevünk kompromittálódott-e. Egy ilyen szolgáltatás indításával spam adatbázist építhetünk, illetve a felhasználóneveket megpróbálhatjuk összepárosítani a jelszóadatbázisunkkal.

Fentiek szellemében minősíthető totálisan értelmetlen szolgáltatásnak a scr.im. A weboldal azzal a céllal működik, hogy megvédje az e-mailcímünket és azt egy rövidített URL-lé alakítsa át, melyet a botok nem értelmeznek e-mailként és továbbmenve rajta nem tudják megfejteni a Captcha-t - így a linket megjeleníthetjük a neten.
Erre a célra is használható például a notepad.pw vagy a tetszhalott notepad.cc - mely online jegyzettömbök esetében jelszóval védhető linken küldhetünk szöveges tartalmat [@].


illusztráció: Martha Swope - 1965
New York Public Library Digital Collection
Creative Commons CC0 1.0

A bejegyzés trackback címe:

https://gordiusz.blog.hu/api/trackback/id/tr28688316

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.