Брутфорс паролей устарел или все еще актуален?

Брутфорс (Brute force) – это метод взлома учетных записей и аккаунтов, построенный на подборе паролей. В основе метода лежит «Теорема о бесконечных обезьянах», которая гласит, что если обезьяна (в нашем случае – программа) будет хаотично нажимать на кнопки печатной машинки (заполнять окно ввода пароля), то рано или поздно воспроизведет поэму Шекспира (подберет верную комбинацию).

Несмотря на примитивность «силового» метода, он остается достаточно актуальным за счет простоты использования и эффективности при «благоприятных внешних условиях»: отсутствии систем защиты от брутфорса и слабых паролей.

В этой статье будут разобраны основные особенности современных бруттеров, а также методы защиты от них: как на уровне инфраструктуры, так и на уровне конкретного пользователя.

Механика работы бруттеров

В чистом виде вся механика состоит из одного действия: подстановки комбинаций. Чтобы ускорить и систематизировать этот процесс используются разнообразные библиотеки и словари паролей.

Дмитрий Ковалев

Руководитель департамента информационной безопасности «Сиссофт»

Брутфорс — это самый примитивный способ подбора пароля. Защититься от него проще всего. Дело в том, что для взлома и перебора вариантов пароля в этом случае используются различные брутфорс-словари. То есть, чем сложнее и длиннее пароль, тем сложнее подобрать его через брутфорс. Если пароль состоит, условно, из 16 символов, включающих цифры, специальные символы, верхний и нижний регистр, он уже будет достаточно защищен.

Две базовые метрики для брутфорса – это объем библиотеки и скорость подбора пароля. В условиях отсутствия защитных инструментов скорость ограничена не только возможностями вредоноса, но и той нагрузкой, которую может выдержать взламываемый сервис.

Brute как метод взлома пароля популярен, в первую очередь, потому что требует минимальный набор навыков со стороны злоумышленника. Достаточно установить бруттер и библиотеку, задать нужные параметры в программе и ждать результата. Но есть и три весомых минуса:

  1. Первый характерен для «новичков», которые по запросу «скачать брутфорс» с большой долей вероятности получат не искомое ПО, а n-ное количество вредоносов и майнер-бот.
  2. Ждать результата, в случае если пароль сложный, придется от нескольких месяцев до нескольких миллионов лет.
  3. Программные решения для защиты от брутфорса не требуют больших вложений, просто интегрируются и надежно решают эту конкретную задачу.
Александр Санин

Коммерческий директор компании «Аванпост»

Брутфорс остается актуальным, так как далеко не все системы оборудованы средствами защиты от такого взлома. Однако, если брутфорс сейчас не срабатывает в течение нескольких минут, то злоумышленнику проще запустить другие механизмы получения несанкционированного доступа. Например, фишинг, взлом привилегированных записей или внедрение вредоносного программного обеспечения.

Альтернативных способов проникновения в инфраструктуру хакерам хватает с избытком.

При наличии массы инструментов для нивелирования попыток узнать пароль с помощью брутфорса, масса людей ими пренебрегает, даже если сервис дает возможность для подключения, например, двухфакторной аутентификации. Основная причина в том, что защитные инструменты, в ряде случаев, снижают скорость аутентификации или делают этот процесс менее удобным.

Защита от брутфорса на уровне пользователя

Самый простой способ защитить свою учетную запись – это подключение двухфакторной аутентификации (если такой функционал есть). В таком случае знание самого пароля не дает злоумышленнику особых возможностей для входа в аккаунт.

Не менее эффективный, но более затратный с точки зрения усилий, способ – это создание сильного пароля. Сильный пароль – это тот, в котором содержатся буквы в разных регистрах, специальные символы и цифры, размером не менее чем 8 символов.

Сергей Волдохин

директор ООО «Антифишинг»

Скорость взлома пароля путем прямого перебора может составлять от двух секунд до пяти месяцев и зависит от длины пароля, набора символов и времени отклика системы на ввод неправильного пароля.

Все знают базовые рекомендации насчет длины пароля и его состава, но что в действительности поможет увеличить время взлома? На самом деле – это навык человека придумывать и запоминать сложные пароли. Как это сделать? Делимся одной из техник:

Шаг 1. Выбираем исходное выражение (в основе может быть ваша цель или то, что для вас важно на ближайший месяц)
Пример: Спорт 2 раза в неделю

Шаг 2. Составляем фразу на английском (смысл фразы должен быть вам понятен)
Пример: Training twice a week

Шаг 3. Сокращаем слова и добавляем верхний регистр (таким образом, чтобы вам было комфортно это запомнить, а также случайным образом несколько букв переводим в верхний регистр)

Пример: Tng 2 tImes a wEek

Шаг 4. Добавляем в пароль несколько цифр и спецсимволов
Пример: Tng 2 tImes @ wE3k

Шаг 5. Получаем сильный пароль и каждый раз при его вводе вспоминаем свою цель и продвигаемся
Пример: Tng2tImes@wE3k

Использование методов мнемонического запоминания пароля решает проблему брутфорса, поскольку подбор пароля хоть и остается теоретически-возможным, но займет несколько столетий.

Однако, это не решает проблемы получения паролей путем фишинга, эксплуатации уязвимостей или других методов. Поэтому рекомендуется менять пароль с определенной периодичностью, от одного месяца до полугода, и использовать разные пароли для разных ресурсов. Ввиду того, что постоянно помнить несколько сложных вариантов паролей довольно сложно, популярностью пользуются разнообразные менеджеры паролей.

Средства защиты от брутеров на уровне ресурса

Создать условия для минимизации эффективности брутфорса можно практически без вложений, создав эффективные требования для пользователей по созданию пароля. Базовые требования касаются:

  • минимального количества символов;
  • использования верхнего и нижнего регистров;
  • количество повторяющихся символов;
  • содержание цифр и специальных символов.

Такие условия повышают общий уровень безопасности пароля, но не решают задачу для всех, поскольку пользователь все еще может установить пароль формата: «ФамилияИмяГодРождения!».

Александр Герасимов

CISO Awillix

В случае, если перед нами простое веб-приложение с формой аутентификации, то скорость перебора пароля будет зависеть от того, насколько быстро веб-приложение и база данных обрабатывает запросы. В среднем без нагрузки на сервер скорость перебора — около 10 паролей в секунду. Увеличивая количество одновременных запросов за единицу времени можно увеличить скорость перебора, но есть риск отказа в обслуживании из-за большого количества соединений к базе данных.

Для защиты от перебора могут быть применены разные подходы и средства, например, блокировку множественных запросов можно реализовать на программном уровне. Разработчик может сам придумать алгоритм блокировки, основываясь на различных метриках и их совокупности: IP-адрес источника, user-agent, значения cookie. Подобный механизм можно использовать у внешних сервисов, например, QRATOR, Cloudflare, данные сервисы позволяют устанавливать различные правила, по которым будет происходить блокировка или дополнительная проверка пользователей. Одним из самых эффективных способов увеличения времени перебора пароля являются также и CAPTCHA-тесты.

Более продвинутый механизм защиты – это создания правил и паттерн, при которых попытка входа идентифицируется как подозрительная или нелегитимная. Определение может базироваться на отличии IP-адресов, количестве вводов пароля, их периодичности и множестве других метрик.

Однако наибольшую эффективность показывают два наиболее затратных (с точки зрения ресурсов) метода – введение механизмов двухфакторной идентификации и CAPTCHA-тестов.

Если говорить о профессиональных атаках, для которых характерен высокий уровень исполнения и технических компетенций злоумышленника, то брутфорс выступает только как элемент атаки. Если он не дает результата с первых минут, то хакер переходит к другим инструментам.

Второй распространенный вариант использования приложений для взлома паролей – это применение бруттеров для решения локальных задач. Например, подбора пароля к незащищенной сети Wi-Fi.

Итоги

Актуальность брутфорс-методов «в общем» напрямую зависит от общего уровня цифровой грамотности. В идеальном мире, где каждый пользователь использует уникальные сильные пароли, любой брутфорс будет занимать слишком много времени, даже без внедрения специальных защитных инструментов.

Ксения Рысаева

руководитель группы аналитиков Центра предотвращения киберугроз CyberART, ГК Innostage

Метод перебора паролей остается одним из популярных способов взлома паролей к учетным записям в социальных сетях, e-mail, онлайн-банков, платежных систем и других web-ресурсов. До тех пор, пока все они не настроят профильные системы блокировки автоподбора паролей, брутфорс будет актуальным. Другие механизмы аутентификации, тот же отпечаток пальца, остаются альтернативой, парольная аутентификация при этом не исчезает, а лишь уходит на второй план.

В то же время, автоподбор может быть быстрым и эффективным в тех случаях, когда атака – целевая, и перед запуском « брута» составлена персонализированная библиотека на основе данных OSINT-разведки. Впрочем, столь персонализированный подход довольно затратен, поэтому вряд ли может иметь массовый характер.

Несмотря на всю простоту и «топорность» брутфорс-метода, он остается актуальным инструментом взлома учетных записей в тех случаях, когда компания не использует защитные инструменты от автоподбора, а пользователь не видит причин ставить надежный пароль.

Информационная безопасность Угрозы информационной безопасности

Брутфорс. Как взламывают аккаунты простым перебором паролей — Джино • Журнал

Пользователи с несложными и короткими паролями — главная мишень взломщиков, использующих метод брутфорса или, другими словами, полного перебора. Этот довольно простой способ взлома нередко приносит результат и теоретически позволяет добыть пароль от аккаунта на любом сервисе или портале, если он недостаточно защищён.

Опасность брутфорса

«Brute force» переводится с английского как «грубая сила», что описывает суть брутфорс-атаки. Во время неё происходит подбор всех возможных вариантов пароля и длится это до тех пор, пока не получится его угадать. Однако на угадывание по-настоящему сложных паролей можно потратить несколько лет, чем вряд ли кто-то будет заниматься. Поэтому они практически на 100% процентов смогут защитить вас от успешных попыток перебора.

Брутфорс-атаке легко поддаются пароли, состоящие из простых комбинаций знаков, расположенных по соседству на клавиатуре. Это может быть ряд цифр («123456») или комбинаций букв («qwerty»). К ненадёжным паролям также относятся и те, которые представляют собой дату («18051991») или осмысленное слово, особенно «admin» и «password». Даже если вы выберете в качество пароля русское слово, набранное с английской раскладкой («gfhjkm»), его тоже можно будет угадать.

Чтобы взломать аккаунт с паролем средней сложности, может потребоваться всего 2-3 часа. Чем проще пароль, тем быстрее атака достигнет своей цели. Для перебора паролей используется специальное ПО, которое либо создаётся самими киберпреступниками, либо заимствуется ими у своих коллег. А в качестве мощностей используют уже ранее взломанные компьютеры и сервера — и, возможно, взломаны они были также с помощью брутфорса.

Аккаунт с вычисленным паролем можно использовать не только для взлома новых аккаунтов, но и для организации рассылки спама. А если речь об аккаунте администратора сайта, но после его взлома злоумышленники могут разместить на сайте вредоносный код. Кроме того, метод полного перебора используется для получения доступа к секретным файлам или к конфиденциальной информации пользователя.

Защита от брутфорса

Современные системы имеют достаточно надёжные способы защиты от брутфорс-атак на учётные записи. Эффективно бороться с ними помогает ограничение попыток входа в аккаунт: например, если пользователь три раза подряд набрал неверную пару логин-пароль, следующую попытку он сможет осуществить только через 15 минут. Также нередко при неудачной попытке входа юзеру предлагают пройти капчу, что вредоносное ПО для перебора паролей уже вряд ли сможет сделать.

Широко применяется и двухфакторная аутентификация. При её использовании юзера просят ввести не только логин и пароль, но и, к примеру, код, который отправляется на его номер телефона. Кстати, мы реализовали свой собственный механизм двухфакторной аутентификации с помощью приложения «Джино.Ключ». Также для дополнительного подтверждения личности пользователя учитывается устройство, с которого совершается вход, и местоположение юзера.

Однако в некоторых системах и приложениях таких мер защиты может и не быть. И тогда брутфорс-атаку можно легко провести, а зафиксировать её обычно бывает непросто. Администратора сайта должен насторожиться, когда неизвестный пользователь с одного и того же IP-адреса начинает настойчиво пытаться войти в систему. Отследить это можно, прежде всего, с помощью лог-файлов. Но лучше сделать так, чтобы такое вовсе не происходило.

Ограничьте на своём сайте число попыток входа в аккаунт, используйте капчу, внедрите двухфакторную аутентификацию. А чтобы сохранить в безопасности ваши собственные аккаунты, используйте сложные пароли из букв, цифр и символов. Чтобы создавать такие пароли, существуют специальные генераторы, а для их надёжного хранения можно использовать менеджеры паролей. И не забывайте менять пароли как минимум раз в год.

Популярные инструменты для атак полным перебором [обновлено на 2020 год]

Атака полным перебором по-прежнему остается одним из самых популярных методов взлома паролей. Тем не менее, это не только для взлома паролей. Атаки грубой силы также могут использоваться для обнаружения скрытых страниц и контента в веб-приложении. Эта атака в основном представляет собой «удар и попытка», пока вы не добьетесь успеха. Эта атака иногда занимает больше времени, но вероятность ее успеха выше.

В этой статье я попытаюсь объяснить атаки методом полного перебора и популярные инструменты, используемые в различных сценариях проведения атак методом полного перебора для получения желаемых результатов.

Что такое атака грубой силой?

Атака грубой силы, когда злоумышленник использует набор предопределенных значений для атаки цели и анализа ответа до тех пор, пока он не добьется успеха. Успех зависит от набора предопределенных значений. Если он больше, это займет больше времени, но вероятность успеха выше.

Наиболее распространенным и простым для понимания примером атаки грубой силы является атака по словарю для взлома паролей. При этом злоумышленник использует словарь паролей, содержащий миллионы слов, которые можно использовать в качестве пароля. Злоумышленник пробует эти пароли один за другим для аутентификации. Если этот словарь содержит правильный пароль, злоумышленник добьется успеха.

При традиционной атаке методом полного перебора злоумышленник просто пытается ввести комбинацию букв и цифр для последовательной генерации пароля. Однако этот традиционный метод займет больше времени, если пароль достаточно длинный. Эти атаки могут занять от нескольких минут до нескольких часов или нескольких лет, в зависимости от используемой системы и длины пароля.

Чтобы предотвратить взлом пароля в результате атак грубой силы, всегда следует использовать длинные и сложные пароли. Это затрудняет подбор пароля злоумышленниками, а атаки методом полного перебора занимают слишком много времени. Блокировка учетной записи — это еще один способ помешать злоумышленнику выполнять атаки грубой силы на веб-приложения. Однако для автономного программного обеспечения все не так просто защитить.

Аналогично, для обнаружения скрытых страниц злоумышленник пытается угадать название страницы, отправляет запросы и видит ответ. Если страница не существует, она покажет ответ 404; в случае успеха ответ будет 200. Таким образом, он может найти скрытые страницы на любом веб-сайте.

Брутфорс также используется для взлома хеша и подбора пароля из заданного хеша. При этом хэш генерируется из случайных паролей, а затем этот хэш сопоставляется с целевым хэшем, пока злоумышленник не найдет правильный. Таким образом, чем выше тип шифрования (64-битное, 128-битное или 256-битное шифрование), используемый для шифрования пароля, тем больше времени может потребоваться для взлома.

Атака методом обратного перебора

Атака методом обратного подбора — еще один термин, связанный со взломом пароля. При взломе паролей используется обратный подход. При этом злоумышленник пробует один пароль для нескольких имен пользователей. Представьте, что вы знаете пароль, но понятия не имеете об именах пользователей. В этом случае вы можете пробовать один и тот же пароль и угадывать разные имена пользователей, пока не найдете рабочую комбинацию.

Теперь вы знаете, что атака полным перебором в основном используется для взлома паролей. Вы можете использовать его в любом программном обеспечении, на любом веб-сайте или в любом протоколе, который не блокирует запросы после нескольких недействительных попыток. В этом посте я собираюсь добавить несколько инструментов для взлома паролей для разных протоколов.

Популярные инструменты для атак методом грубой силы

Aircrack-ng

Я уверен, что вы уже знаете об инструменте Aircrack-ng. Это популярный инструмент для взлома паролей Wi-Fi, доступный бесплатно. Я также упоминал об этом инструменте в нашем предыдущем посте о самых популярных инструментах для взлома паролей. Этот инструмент поставляется с взломщиком WEP/WPA/WPA2-PSK и инструментами анализа для выполнения атак на Wi-Fi 802.11. Aircrack-ng можно использовать для любой сетевой карты, которая поддерживает режим прямого мониторинга.

Он в основном выполняет словарные атаки на беспроводную сеть, чтобы угадать пароль. Как вы уже знаете, успех атаки зависит от словаря паролей. Чем лучше и эффективнее словарь паролей, тем больше вероятность, что он взломает пароль.

Доступен для платформ Windows и Linux. Он также был портирован для работы на платформах iOS и Android. Вы можете попробовать его на определенных платформах, чтобы увидеть, как этот инструмент можно использовать для взлома паролей Wi-Fi методом грубой силы.

Загрузите Aircrack-ng здесь.

John the Ripper

John the Ripper — еще один замечательный инструмент, не нуждающийся в представлении. Это был любимый выбор для выполнения атак методом перебора в течение длительного времени. Это бесплатное программное обеспечение для взлома паролей изначально было разработано для систем Unix. Позже разработчики выпустили его для различных других платформ. Теперь он поддерживает пятнадцать различных платформ, включая Unix, Windows, DOS, BeOS и OpenVMS.

Вы можете использовать это либо для выявления слабых паролей, либо для взлома паролей для нарушения аутентификации.

Этот инструмент очень популярен и сочетает в себе различные функции взлома паролей. Он может автоматически определять тип хеширования, используемый в пароле. Поэтому вы также можете запустить его против зашифрованного хранилища паролей.

По сути, он может выполнять атаки методом грубой силы со всеми возможными паролями, комбинируя текст и числа. Однако вы также можете использовать его со словарем паролей для проведения атак по словарю.

Скачать Джона Потрошителя здесь.

Rainbow Crack

Rainbow Crack также является популярным инструментом для взлома паролей. Он генерирует радужные таблицы для использования при выполнении атаки. Таким образом, он отличается от других обычных инструментов грубой силы. Радужные таблицы предварительно вычисляются. Это помогает сократить время выполнения атаки.

Хорошо, что существуют различные организации, которые уже опубликовали докомпьютерные радужные таблицы для всех пользователей Интернета. Чтобы сэкономить время, вы можете скачать эти радужные таблицы и использовать их в своих атаках.

Этот инструмент все еще находится в активной разработке. Он доступен как для Windows, так и для Linux и поддерживает все последние версии этих платформ.

Скачайте Rainbow Crack и узнайте больше об этом инструменте здесь.

L0phtCrack

L0phtCrack известен своей способностью взламывать пароли Windows. Он использует атаки по словарю, атаки грубой силы, гибридные атаки и радужные таблицы. Наиболее заметными функциями L0phtcrack являются планирование, извлечение хэшей из 64-битных версий Windows, многопроцессорные алгоритмы, а также мониторинг и декодирование сети. Если вы хотите взломать пароль системы Windows, вы можете попробовать этот инструмент.

Загрузите L0phtCrack здесь.

Ophcrack

Ophcrack — еще один инструмент грубой силы, специально используемый для взлома паролей Windows. Он взламывает пароли Windows, используя LM-хэши через радужные таблицы. Это бесплатный инструмент с открытым исходным кодом.

В большинстве случаев он может взломать пароль Windows за несколько минут. По умолчанию Ophcrack поставляется с радужными таблицами для взлома паролей длиной менее 14 символов, содержащих только буквенно-цифровые символы. Другие радужные таблицы также доступны для загрузки.

Ophcrack также доступен в формате LiveCD.

Загрузите Ophcrack здесь.

Hashcat

Hashcat претендует на звание самого быстрого инструмента для взлома паролей на основе процессора. Это бесплатное приложение для платформ Linux, Windows и Mac OS. Hashcat поддерживает различные алгоритмы хеширования, включая LM Hashes, MD4, MD5, семейство SHA, форматы Unix Crypt, MySQL и Cisco PIX. Он поддерживает различные атаки, включая атаки грубой силы, комбинаторные атаки, атаки по словарю, атаки по отпечаткам пальцев, гибридные атаки, атаки по маске, атаки с перестановкой, атаки на основе правил, атаки с поиском в таблице и атаки с переключением регистра.

Загрузите Hashcat здесь.

DaveGrohl

DaveGrohl — популярный инструмент грубой силы для Mac OS X. Он поддерживает все доступные версии Mac OS X. Этот инструмент поддерживает как атаки по словарю, так и инкрементальные атаки. Он также имеет распределенный режим, который позволяет выполнять атаки с нескольких компьютеров для атаки на один и тот же хеш-пароль.

Этот инструмент теперь с открытым исходным кодом, и вы можете загрузить исходный код.

Загрузите Дейва Грола здесь.

Нкрэк

Ncrack также является популярным инструментом для взлома паролей для взлома сетевой аутентификации. Он поддерживает различные протоколы, включая RDP, SSH, HTTP(S), SMB, POP3(S), VNC, FTP и Telnet. Он может выполнять различные атаки, включая атаки грубой силы. Он поддерживает различные платформы, включая Linux, BSD, Windows и Mac OS X.

Загрузите Ncrack здесь.

THC Hydra

THC Hydra известна своей способностью взламывать пароли сетевой аутентификации путем проведения атак грубой силы. Он выполняет атаки по словарю на более чем 30 протоколов, включая Telnet, FTP, HTTP, HTTPS, SMB и другие. Он доступен для различных платформ, включая Linux, Windows/Cygwin, Solaris 11, FreeBSD 8.1, OpenBSD, OSX и QNX/Blackberry.

Загрузите THC Hydra здесь.

Заключение

Это несколько популярных инструментов для взлома паролей. Также доступны различные другие инструменты, которые выполняют грубую силу для различных видов аутентификации. Если я просто приведу пример нескольких небольших инструментов, вы увидите, что большинство инструментов для взлома PDF и ZIP используют одни и те же методы грубой силы для выполнения атак и взлома паролей. Есть много таких инструментов, доступных бесплатно или платно.

Брут-форс — лучший метод взлома пароля. Успех атаки зависит от различных факторов. Однако больше всего на него влияют такие факторы, как длина пароля и сочетание символов, букв и специальных символов. Вот почему, когда мы говорим о надежных паролях, мы обычно предлагаем пользователям использовать длинные пароли с комбинацией строчных букв, заглавных букв, цифр и специальных символов. Это не делает грубую форсировку невозможной, но усложняет ее. Следовательно, потребуется больше времени, чтобы добраться до пароля методом перебора.

Почти все алгоритмы взлома хэшей используют грубую силу, чтобы пробовать и пробовать. Эта атака лучше всего работает, когда у вас есть автономный доступ к данным. В этом случае его легко взломать и это займет меньше времени.

Взлом пароля методом грубой силы также очень важен для компьютерной безопасности. Он используется для проверки слабых паролей, используемых в системе, сети или приложении.

Лучший способ предотвратить атаки методом грубой силы — ограничить количество недействительных входов в систему. Таким образом, атаки могут только пробовать пароли только в течение ограниченного времени. Вот почему веб-сервисы начинают показывать капчи, если вы трижды вводите неверный пароль, иначе они заблокируют ваш IP-адрес.

Атака паролей полным перебором — Глоссарий

  • Проекты
  • Публикации Развернуть или свернуть
  • Темы Развернуть или свернуть
  • Новости и обновления
  • События
  • Глоссарий
  • О CSRC Развернуть или свернуть

Поиск

Сортировать по

Релевантность (наилучшее совпадение)Срок (A-Z)Срок (Z-A)

Пункты на странице 100200500Все

    Глоссарий

А | Б | С | Д | Е | Ф | грамм | ЧАС | я | Дж | К | л | М | Н | О | п | Вопрос | р | С | Т | U | В | Вт | Икс | Д | Z

Атака паролей полным перебором

Определения:

  Метод доступа к заблокированному устройству путем попытки ввода нескольких комбинаций цифровых/буквенно-цифровых паролей.