Методы взлома паролей

Опубликовано: Статьи


Сегодня многие атаки на сетевую инфраструктуру начинаются с попытки взломать обычный пароль от аккаунта пользователя. Если данный этап пройден успешно, у злоумышленников появляется возможность атаковать другие устройства и переходить к другим деструктивным действиям.

Особенности взлома паролей

Под взломом паролей подразумевают процесс получения доступа к атакованной системе путем кражи, расшифровки или подбора нужной комбинации. Для этого могут использоваться различные схемы и внешние инструменты автоматизации. К примеру, это может быть простой перебор всех доступных комбинаций или сложная многоуровневая атака, в рамках которой устройство заражается вирусом для кражи паролей.

Форматы атак

Все схемы взлома принято делить на две большие группы – офлайн и онлайн. В первом случае основная работа осуществляется на сервере (расшифровка украденных ранее хэшей), во втором – атака ведется в режиме реального времени путем отправки запросов на атакованное устройство.

Онлайн-атаки

Действия осуществляются непосредственно в приложении или на сайте. Упрощенно говоря, происходит попытка подобрать пароль через штатную форму входа. Процесс может занимать гораздо больше времени, при этом его достаточно легко отследить. К примеру, ресурс может просто ограничивать частые запросы с одного IP-адреса, требуя ожидать определенное время или предлагая пройти капчу. Этого уже достаточно, чтобы сделать перебор комбинаций попросту бессмысленным.

Офлайн-атаки

Злоумышленник получает готовую базу данных для обработки на локальном сервере, в этом случае нет вероятности, что активность будет зафиксирована алгоритмами защиты. Такой подход более эффективен, поскольку не предусмотрены ограничения по скорости отправки запросов.

Основные методы взлома паролей

Фишинг

Относительно старая схема, которая остается актуальной уже много лет. Общий алгоритм – инициируется диалог с пользователем, в процессе которого атакующий под различными предлогами старается получить от потенциальной жертвы нужную информацию. Это может быть непосредственно пароль или код для восстановления доступа. Несмотря на примитивность, достаточно много пользователей не замечают подвоха и теряют доступ к учетной записи. Ключевая проблема в том, что в данном случае защитные механизмы просто бессильны, поскольку пользователь сам передает нужную информацию.

Перебор комбинаций (Brute force)

Данный способ подходит только для простых комбинаций без специальных символов. Если пользователь соблюдает рекомендации к уровню сложности, то брутфорс становится нецелесообразным – на это уйдет слишком много времени даже при использовании современных программ и производительного железа.

Перебор по словарю

В этом случае используются словари с часто используемыми паролями. Это могут быть имена, комбинации формата qwerty123, даты, имена и так далее. Поскольку используемое ПО способно перебирать большое количество комбинаций и отправлять запросы к разным аккаунтам, есть высокая вероятность найти слабый пароль и получить доступ к системе.

Credential stuffing

Используется база данных с украденными ранее паролями от других сервисов. Нередко пользователи используют одинаковые пароли от разных учетных записей, чтобы упростить себе работу.

Rainbow tables

Используются подготовленные таблицы для атаки на хэши. Для устойчивости к таким атакам используется «соль» — так принято называть случайный набор данных, который добавляется перед хэшированием.

Password spraying

В этом случае используется ограниченный набор популярных паролей, а перебор происходит по разным аккаунтам. Это позволяет обойти ограничения по количеству запросов на одну учетную запись.

Гибридные атаки

Могут сочетать разные схемы, например, не только перебирают пароли по словарю, но и модифицируют исходный пароль. Это может быть добавление цифр, изменение регистра и так далее.

Инструменты для взлома

Специализированных программ для тестирования устойчивости к взлому достаточно много, причем их могут использовать обе стороны – хакеры и специалисты в сфере информационной безопасности. Часто они представлены в виде набор готовых инструментов – брутфорс, тестирование устойчивости системы и так далее.

Hashcat

Основной упор сделан на брутфорс, для ускорения работы используются возможности GPU. Реализована поддержка более 200 алгоритмов хэширования, что покрывает все распространенные алгоритмы защиты.

JTR (John the Ripper)

Входит в число самых популярных программ данного типа. Для расширения функционала можно использовать плагины, что позволяет собрать нужную конфигурацию под текущие задачи.

THC Hydra

Обеспечивает автоматизацию атак на основе подбора учетных данных. Поддерживает работу по всем распространенным протоколам, включая FTP, HTTP и RDP.

Cain and Abel

Windows-приложение с простым интерфейсом. Ориентировано на начинающих пользователей, поэтому используются только базовые настройки, что упрощает работу. Кроме режима брутфорса предусмотрена возможность перехватывать и анализировать трафик, анализировать хэши и многое другое.

Redline Stealer, Vidar и Raccoon

Современные стилеры со схожим функционалом. Позволяют извлекать пароли непосредственно из почтовых клиентов, браузеров и других приложений.

Ophcrack

Программа для организации атак на основе радужных таблиц. Используется простой интерфейс с минимальным набором функций. Данный тип атак сегодня практически неактуален – можно взламывать только старые алгоритмы без соли.

Другие распространенные техники

Привлечение ИИ. Оказалось, что современные языковые модели способны анализировать популярные сегодня пароли и выделять склонности людей при их создании. Это позволят повысить эффективность новой базы данных. Более того можно анализировать базы данных от разных сервисов, что определять особенности для отдельных групп пользователей.

Атаки с использованием токенов и сессий. Злоумышленники активно стараются найти схемы обходы современных инструментов защиты. В частности, можно украсть токен доступа, чтобы войти в систему при помощи открытой ранее сессии. Это в очередной раз демонстрирует, что защита аккаунта обязательно должна быть комплексной, поскольку слабые места могут нивелировать всю проделанную работу.

Заключение

Пароли уже много лет становятся объектом атак со стороны злоумышленников. Разработчики активно внедряют новые технологии защиты, однако хакеры также постоянно ищут новые схемы для атак. Практика показывает, что соблюдение элементарных правил позволяет резко сократить вероятность взлома. Рекомендуется использовать сложные пароли, менять их каждые несколько месяцев и не использовать одинаковые комбинации на разных сервисах. Если платформы поддерживают дополнительные механизмы защиты, например, двухфакторную аутентификацию, лучше сразу активировать данную опцию.

Похожие записи:

  1. Дипломный проект — парсер на Python для каталога Литрес
  2. Аутентификация одноразовыми кодами: принцип работы, преимущества и риски
  3. Как атакуют и защищают модели искусственного интеллекта
  4. Что делать, если мошенники получили код доступа к Госуслугам


Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: