Pametni algoritmi probijaju većinu lozinki za manje od 60 sekundi

[Vuk Samotnjak]

Pametni algoritmi probijaju većinu lozinki za manje od 60 sekundi​

Uz samo nekoliko dolara, malo vremena i pametan brute-force algoritam, većina lozinki može biti probijena mnogo brže nego što možete zamisliti. Prema novoj analizi stručnjaka iz Kasperskog, 59% od 193 miliona stvarnih lozinki bilo je probijeno za manje od 60 minuta, a 45% za manje od 60 sekundi. Zbog toga pametni algoritmi postaju sve ozbiljnija pretnja postojećim sistemima globalne sajber bezbednosti.

Osnova brute-force napada je kada napadač probava sve moguće kombinacije kako bi pronašao odgovarajuću lozinku. Međutim, Antonov je objasnio, “pametni algoritmi za pogađanje su obučeni na skupu podataka o lozinkama kako bi izračunali učestalost različitih kombinacija karaktera i napravili izbor koji kreće od najčešćih kombinacija do najređih.”

Iako su vrlo popularni zbog jednostavnosti napada, brute-force pristupi ostaju neoptimalni kada je reč o algoritmima za probijanje lozinki. Kada uzmete u obzir da velika većina lozinki koje se svakodnevno koriste sadrže slične karakteristike koje uključuju kombinacije datuma, imena, reči iz rečnika i sekvence sa tastature, dodavanje ovih elemenata u mešavinu pogađanja znatno ubrzava proces.

Kompletan članak: https://benchmark.rs/vesti/softver-...bijaju-vecinu-lozinki-za-manje-od-60-sekundi/

 

[Wise Owl]

Kako brute force kada sajtovi imaju zaštitu od toga.

 

[Џорџи]

Najs,da se batale racuni u bankama i provizija vlasti

 

[Sensei]

Kako brute force kada sajtovi imaju zaštitu od toga.

distributed brute force attack
Kada se jedna IP adresa zaključa zbog nekoliko pogrešnih pokušaja onda krenu sa druge IP adrese i tako na stotine ili hiljade puta.

 

[Vuk Samotnjak]

distributed brute force attack
Kada se jedna IP adresa zaključa zbog nekoliko pogrešnih pokušaja onda krenu sa druge IP adrese i tako na stotine ili hiljade puta.

Upravo to

 

[Wise Owl]

dobro je što su moji nalozi useless anyway.

 

[buudala]

....a ovamo bi da ukinu keš plaćanje?

 

[tab503]

brate kombinujes mala i velika slova, brojeve i spacijalne znake i bar 9 karaktera
nasin superkompjuter sa najnapridnijim brute force metodom ne moze da probije za godinu dana.

naravno ne koristiti poznate reci i pojmove zbog recnika koji se koriste u razbijanju sifri.

znaci nesto tipa hjK23-kOl6
ovo nema sanse da probije.

 

[Will to Power]

Kako brute force kada sajtovi imaju zaštitu od toga.

Blokiraju jednu IP ali sada postoje na desetine hiljada i miliona proxy servera pa sa nekog vps ili dedicated servera ih samo menjas, mada opet brute force po mom misljenju nije ni blizu opasan kao neki spy sw, virusi i slicno. Pravi hakeri retko sa brute force razvaljuju lozinke, u principu vecinu stvari rade sa nekim spy softverima pa im zrtva servira svoju lozinku kao na tacni.

 

[tab503]

brute force metod koriste amateri i wannabe hakeri.

 

[Wise Owl]

Kad vidiš username tipa: Hax0r

 

[Vuk Samotnjak]

brate kombinujes mala i velika slova, brojeve i spacijalne znake i bar 9 karaktera
nasin superkompjuter sa najnapridnijim brute force metodom ne moze da probije za godinu dana.

naravno ne koristiti poznate reci i pojmove zbog recnika koji se koriste u razbijanju sifri.

znaci nesto tipa hjK23-kOl6
ovo nema sanse da probije.

A da ne računam da postoje alatke kao LastPass koje ti generišu neki pass i još ga i zapamte za tebe

 

[dzolix]

Kako brute force kada sajtovi imaju zaštitu od toga.

Lozinke se probijaju velikim brzinama u zavisnosti koji je tip lozinke to jest vrsta hasha to jest koda. Ako se udje u bazu podataka ili neki drugi nacin i pokupe hashovi onda se probijaju velikim brzinama cak po 20 miliona potencijalnih lozinki testira u sekundi. Kad se nadje lozinka onda se testira i vecinom radi. Sajtovi imaju zastitu od pogadjanja lozinki to jest visestrukih neuspjelih logovanja. Vecinom se brzo probijaju jednostavne lozinke i na nekim nebitnim stranicama.

 

[Wise Owl]

Lozinke se probijaju velikim brzinama u zavisnosti koji je tip lozinke to jest vrsta hasha to jest koda. Ako se udje u bazu podataka ili neki drugi nacin i pokupe hashovi onda se probijaju velikim brzinama cak po 20 miliona potencijalnih lozinki testira u sekundi. Kad se nadje lozinka onda se testira i vecinom radi. Sajtovi imaju zastitu od pogadjanja lozinki to jest visestrukih neuspjelih logovanja. Vecinom se brzo probijaju jednostavne lozinke i na nekim nebitnim stranicama.

Ma, meni su nalozi sami po sebi nebitni. Ništa ja nemam na internetu vredno čuvanja ili da je tako tajno da bih se sekirao oko toga.

 

[dzolix]

Ma, meni su nalozi sami po sebi nebitni. Ništa ja nemam na internetu vredno čuvanja ili da je tako tajno da bih se sekirao oko toga.

Vjerujem da je tako u tvom slucaju. Ono sam napisao i zbog drugih da ne upadnu u zamku misleci kako je tesko pronaci lozinku ako ide jedno logovanje jedna lozinka svakih par sekundi sto i jeste tacno ali vecina ne zna da postoji offline probijanje lozinki koje ide jako brzo i kad se tako nadje lozinka onda je uspjesan ulazak logovanje iz prve 100% tako da je sigurnije staviti tezu lozinku ako zele sigurnost.

 

[BLANKED]

Kako brute force kada sajtovi imaju zaštitu od toga.

Postoje odredjeni sigurnosni remote protokoli koji ne zahtevaju "lockout", i dan danas postoje neke firme koje to preferiraju (retkost je ali postoji). Uzmimo npr. da firma ima 100 radnika, i ja probam da pogadjam lozinke svih 100 to bi znacilo da cu sve da ih zakljucam i napravim svima problem. Recimo probam da se ulogujem preko web aplikacije koja se nakon 3 pokusaja zakljuca, ali ako probam to isto preko recimo NTLM protokola (zastareli nesiguran protokol) vrv. nemam problem sa tim.

Drugi nacin je da neko ukrade hash korisnika, i onda moze da se izivljava nad tim hashom do mile volje i pocne da pogadja lozinke na svom racunaru, to se najcesce dogadja sa ukradenim bazama.

Mada isti princip moze da se primeni i na wifi hakovanju, gde presretnesh "handshake" paket u "vazduhu", doneses ga na svoj racunar odes kuci i pogadjas lozinke natenane bez potrebe da se konektujes na tu wi fi mrezu

 

[Пилипенда]

znaci nesto tipa hjK23-kOl6
ovo nema sanse da probije.

А и већ сутрадан ни ти ниси сигуран шта си откуцао па је шифра заштићена и од тебе.

 

[dzolix]

Drugi nacin je da neko ukrade hash korisnika, i onda moze da se izivljava nad tim hashom do mile volje i pocne da pogadja lozinke na svom racunaru, to se najcesce dogadja sa ukradenim bazama.

Sta mislis sta ce se dogoditi a to je neminovno da kompjuteri postanu toliko mocni da mogu pogoditi bilo koju lozinku cak i one od po 100 znakova. Sta ce se dogoditi ako svi profili na drustvenim mrezama budu provaljeni.

 

[Wise Owl]

Mada isti princip moze da se primeni i na wifi hakovanju, gde presretnesh "handshake" paket u "vazduhu", doneses ga na svoj racunar odes kuci i pogadjas lozinke natenane bez potrebe da se konektujes na tu wi fi mrezu

Sumnjiv si mi sada.

 

[tab503]

А и већ сутрадан ни ти ниси сигуран шта си откуцао па је шифра заштићена и од тебе.

te sifre se ne lupaju nego se smisleno stvaraju "random" karaktreri

 

[BLANKED]

Sta mislis sta ce se dogoditi a to je neminovno da kompjuteri postanu toliko mocni da mogu pogoditi bilo koju lozinku cak i one od po 100 znakova. Sta ce se dogoditi ako svi profili na drustvenim mrezama budu provaljeni.

Pa neka multifaktorna zastita ili sl. mehanizam verovatno, otisak prsta, roznjaca, krv iz vene Sve to vise ide u apsurd

Doduse citao sam malo da vec postoje algoritmi koji su kao otporni na kvantne racunare kad je u pitanju to razbijanje hash-a, pojma nemam koliko je to stvarno tacno Ali vrlo je verovatno da ce klasicne lozinke da odu u istoriju.

Sumnjiv si mi sada.

Ma dobro nisu lose te stvari da se znaju koliko da bi se zastitio , to je klasicno njuskanje paketa preko Aircrack-a ali princip je identican i sa ostalim stvarima

Mada meni su ti wi fi trikovi uvek bili kul, ima mnogo bolja fora sa wifi-om tzv. man-in-the-middle, "zli blizanac" to sam bukvalno izveo na samom sebi Nema brute force-a i slicnih gluposti vec sve radis kao gospodin covek

Oboris pravi SSID deautentikacijom (ometas signal osim ako taj neko nema WPA3 protokol koji je bas napravljen zbog toga) i podignes svoj SSID koji je identican klon ovom legitimnom, i uredjaj automatski pokusava da se veze za tvoj "lazni" ssid koji salje nazad kroz browser "captive portal" stranicu u koju treba da se korisnik uloguje, e sad time ne moras da od korisnika trazis wi fi loznku vec mozes npr. da napravis bilo sta, neku recimo "Outlook, fb ... phishing stranicu" i ovaj cim unese kredencijale to se sve salje tebi, cim iskljucis ometanje ovaj se u momentu vraca na pravu wi fi mrezu kao da se nista nije dogodilo

Te fore tesko da ce da upale ako probas to na nekom kod kuce, sigurno da ce vecina da vidi da im nesto ne stima kako treba, nema internet, plus mu trazi neke lozinke ... ali npr u nekom kaficu, ili firmi gde se cesto tako loguju moze da upali

E sad oni pravi hakeri koji imaju mozga dizu sve to na dosta visi nivo i ne mlate se tim phishingom vec preusmere sav tvoj saobracaj da ide preko njih kao da su ti oni provajder

 

[dzolix]

Pa neka multifaktorna zastita ili sl. mehanizam verovatno, otisak prsta, roznjaca, krv iz vene Sve to vise ide u apsurd

Doduse citao sam malo da vec postoje algoritmi koji su kao otporni na kvantne racunare kad je u pitanju to razbijanje hash-a, pojma nemam koliko je to stvarno tacno Ali vrlo je verovatno da ce klasicne lozinke da odu u istoriju.

Ili da se moc kompjutera ogranici jer ako klasicne lozinke budu neupotrebljive onda sve to gubi normalan smisao.

Mada meni su ti wi fi trikovi uvek bili kul, ima mnogo bolja fora sa wifi-om tzv. man-in-the-middle, "zli blizanac" to sam bukvalno izveo na samom sebi Nema brute force-a i slicnih gluposti vec sve radis kao gospodin covek

To je na prvi pogled lakse ali je neeticki jer je prevara, lazno predstavljanje, cesto i zabranjeno.
Probiti lozinku je viteski, gospodski.

 

[BLANKED]

Ili da se moc kompjutera ogranici jer ako klasicne lozinke budu neupotrebljive onda sve to gubi normalan smisao.

To je na prvi pogled lakse ali je neeticki jer je prevara, lazno predstavljanje, cesto i zabranjeno.
Probiti lozinku je viteski, gospodski.

Pa dobro obe stvari su neeticke. Danas i najsofisticiraniji napadi ne mogu bez phishinga


Kapiram na sta mislis kada kazes da je probiti lozinku viteski ali u ovom npr. slucaju i nije bas tako, ti fakticki za "brute force" ne radis nista previse specijalno niti previse razmisljas (mozda je to bilo nekad), tvoje je da pokupis PCAP fajl i tu gotovo cela prica staje, sve ostalo graf. karte rade bukvalno same, nema niceg toliko zanimljivog, plus stvarno mora da imas mnogo love za to i fensi opremu sto bas i nema neku "draz"
A ovde je opet neophodna malo jaca egzibicija, jer da bi prevario korisnika moras da prevaris i uredjaj, jednom wifi antenicom koju imas u laptopu identifikujes i otkacinjes uredjaj dok drugom skeniras okruzenje i podizes svoj "rogue" hotspot. a u drugoj fazi biras oruzje : ili saljes taj pcap da unese loznku sam ili cred. phishing ili ga jednostavno pustas da se zakaci za tebe.

A pogotovo je meni gospodski presretanje saobracaja, slican princip (DNS Hijack ili DNS Spoof / Poisoning) to je po meni stvarno vrhunac, gde njegov racunar zbunjen salje DNS zahteve prvo tebi misleci da si ti DNS server = provajder a ti onda odlucujes da li ces da mu "dirigujes" te DNS zahteve ili ces jednostavno da ga pustis na net i osluskujes njegovu aktivnost

Upravo je zbog toga dobar savet koristiti bar VPN ako vec moras da koristis javni wifi jer VPN komunicira sa svojim privatnim DNS serverom i sva komunikacija je enkriptovana. (iz bukvalnog istog razloga provajder nema pojma sta radis kada si na VPN-u)

Tu i dolazimo do ove price sa kvantnim racunarima nastala bi vrv. anarhija ali ako je istina vec postoje algoritmi koji su bas napravljeni za njih i zadaju im neke bolesno komplikovane jednacine .

 

[dzolix]

Kapiram na sta mislis kada kazes da je probiti lozinku viteski ali u ovom npr. slucaju i nije bas tako, ti fakticki za "brute force" ne radis nista previse specijalno niti previse razmisljas (mozda je to bilo nekad), tvoje je da pokupis PCAP fajl i tu gotovo cela prica staje, sve ostalo graf. karte rade bukvalno same, nema niceg toliko zanimljivog, plus stvarno mora da imas mnogo love za to i fensi opremu sto bas i nema neku "draz"
A ovde je opet neophodna malo jaca egzibicija, jer da bi prevario korisnika moras da prevaris i uredjaj, jednom wifi antenicom koju imas u laptopu identifikujes i otkacinjes uredjaj dok drugom skeniras okruzenje i podizes svoj "rogue" hotspot. a u drugoj fazi biras oruzje : ili saljes taj pcap da unese loznku sam ili cred. phishing ili ga jednostavno pustas da se zakaci za tebe.

Za brute force mask atack ne treba puno razmisljanja i ako imas dobru opremu jaku karticu to je tacno da ide sve samo od sebe.
Ali za brute force dictionary napad treba razmisljanja jer umijece je napraviti dobru listu sa potencijalnim lozinkama i tu treba iskustva i znanja i rada. Umijece je sa slabom opremom i dobrim unikatnim listama pronaci lozinku.
Kada radis brute force ti si potpuno sakriven neprimjetan, dok ako radis twin atack to jest lazni klonirani profil ti se onda mozes primjetiti da je nesto cudno i onaj koji napadnut to lakse primjeti tako da je on na neki nacin otvoreno javno ugrozen. Javno se vide dupli profili korisnika koji tako stoje mjesecima.

 

[Sizif]

....a ovamo bi da ukinu keš plaćanje?

Pa veća je šansa da ti ukradu novčanik nego da ti zloupotrebe e-banking.

Osim ako nisi izraziti antitalenat. xD