The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Представлен набор правил для подбора паролей на основе статистических данных

12.02.2016 22:49

Для системы подбора паролей hashcat подготовлен набор правил, учитывающий статистически наиболее вероятные способы формирования паролей и типовые шаблоны компоновки паролей сотрудниками предприятий.

Например, на предприятиях часто введена практика ежеквартального принудительной смены паролей, в ответ на которую многие сотрудники увеличивают определённое число в пароле или добавляют к паролю название месяца или времени года. Предложенные правила учитывают подобное поведение, что позволяет заметно поднять вероятность успешного подбора. Второй набор включает данные, полученные в результате применения методов машинного обучения к крупной коллекции паролей. На основе выявленных зависимостей в структуре паролей были выделены наиболее успешно срабатывающие правила подбора.

  1. Главная ссылка к новости (https://www.praetorian.com/blo...)
  2. OpenNews: Программа подбора паролей hashcat стала открытой
  3. OpenNews: Оценка эффективности хэширования паролей на крупном GPU-кластере
  4. OpenNews: Релиз oclHashcat-lite, системы подбора паролей с задействованием GPU
  5. OpenNews: Вышел John the Ripper 1.7.6 с поддержкой параллелизации
  6. OpenNews: Вышел John the Ripper с поддержкой GPU (CUDA и OpenCL)
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: hashcat, password
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (26) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, _ (??), 00:45, 13/02/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Чем всё кончится если с этим переборщить - тоже известно. Начнут записывать на бумажках, и вся ваша "секурити" пойдёт в дупу.
     
     
  • 2.2, Аноним (-), 01:15, 13/02/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    У половины клерков пароль под клавиатурой и известен минимум всему отделу.

    Новость то в чем? Где утилиты для подбора паролей с этими алгоритмами и т д? Про всякие радужные таблицы все давно наслышаны, а толку? Если тестировать пароль на сложность всякимим алгоритмами, то клерк вообще не придумает пароль или не запонмит придуманное никогда.

     
     
  • 3.9, Crazy Alex (ok), 04:01, 13/02/2016 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Как ни странно, если защищаемся от внешних вторжений, а не от "крота", то бумажка под клавиатурой - хороший, надёжный метод.
     
     
  • 4.12, Вареник (?), 07:52, 13/02/2016 [^] [^^] [^^^] [ответить]  
  • +10 +/
    От крота вообще ничего не защищает. Супруги Розенберги не дадут соврать.

    Меры "от крота" всего лишь приводят к тому что сотрудник понятия не имеет чем занимается соседний отдел (делает вид, конечно), новый сотрудник не может найти в городе "ящик", куда его распределили, пока не спросит мальчишек где секретный авиазавод и где дырка в заборе.

     
  • 3.19, pavlinux (ok), 01:38, 14/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Где утилиты для подбора паролей с этими алгоритмами и т д?

    Шо, криптокидиз-школота ниасилит написать рулезы с John-the-Ripper?  

     
     
  • 4.28, Аноним (-), 20:58, 14/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    в нем работа с GPU где-то в глубокой ж... бете, а oclhashcat на гитхабе, официально.
     

  • 1.3, Sw00p aka Jerom (?), 01:39, 13/02/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Для системы подбора паролей

    ващето, система подбора хеша пароля

     
     
  • 2.4, Аноним (-), 02:14, 13/02/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >ващето

    вообще-то
    >система подбора хеша пароля

    хаксор, прямо хаксор, может восстановление пароля по хэшу?

     
     
  • 3.8, Sw00p aka Jerom (?), 03:04, 13/02/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >может восстановление пароля по хэшу?

    ващето хеш функция - не обратима.

    и нету тут ни какого процесса восстановления, есть только

    1) вычисление хеш функции от предполагаемого пароля
    2) сравнение результата с имеющимся значением хеша от не известного пароля


     
     
  • 4.14, Аноним (-), 09:09, 13/02/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > ващето

    для особо тупых пишется вообще-то
    > хеш функция - не обратима.

    Спасибо кэп
    > и нету тут ни какого процесса восстановления

    Ты не только писать не умеешь, но и читать?
    Advanced CPU-based password recovery utility https://hashcat.net/hashcat
    > 2) сравнение результата с имеющимся значением хеша от не известного пароля

    Ты сам то понял что написал?

     
     
  • 5.15, Аноним (-), 11:09, 13/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    не хочет != не умеет
     
  • 5.20, pavlinux (ok), 01:43, 14/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >> 2) сравнение результата с имеющимся значением хеша от не известного пароля
    > Ты сам то понял что написал?

    Тупак чтоль?

    Утиль генерит хэш и сравнивает его со подбираемым.  


    for i in  'seq 1 10';
        do
           echo $i | sha1sum;
    done;

     
     
  • 6.22, Аноним (-), 04:57, 14/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Утиль генерит хэш и сравнивает его со подбираемым.  

    Вот это нормальное описание. В отличии от товарища выше.

     
     
  • 7.26, Sw00p aka Jerom (?), 20:18, 14/02/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    человек, который в теме с полуслова поймёт то, что я имел ввиду, а не придирался бы ко всяким "ващето" и тд.  
     
  • 5.21, Sw00p aka Jerom (?), 01:56, 14/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    int compare_digest_plain      (const void *p1, const void *p2);
    int compare_digest_md5        (const void *p1, const void *p2);
    int compare_digest_sha1       (const void *p1, const void *p2);
    int compare_digest_mysql      (const void *p1, const void *p2);
    int compare_digest_md4        (const void *p1, const void *p2);
    int compare_digest_sha256     (const void *p1, const void *p2);
    int compare_digest_sha512     (const void *p1, const void *p2);
    int compare_digest_descrypt   (const void *p1, const void *p2);
    int compare_digest_keccak     (const void *p1, const void *p2);
    int compare_digest_netntlmv1  (const void *p1, const void *p2);
    int compare_digest_gost       (const void *p1, const void *p2);
    int compare_digest_bcrypt     (const void *p1, const void *p2);

     
     
  • 6.23, Аноним (-), 04:58, 14/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Иди в лес деточка, ты еще про коллизии забыл сказать.


     

  • 1.5, Отражение луны (ok), 02:31, 13/02/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Все это крайне большая тупость, ибо про бумажки было замечено верно и не раз. Карты нужны, карты. И интеллектуальная централизованная система контроля, которая будет ставить под сомнение любое противоречие.
     
     
  • 2.10, Crazy Alex (ok), 04:06, 13/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Если у сотрудников есть возможность заходить в системы компании снаружи, то лучше бумажки, чем предсказуемые пароли.
     
     
  • 3.13, 10й Брейтовский переулок (?), 08:16, 13/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Звонок другу из дома: Маш, посмотри, что там у меня под клавой написано, не могу зайти отчет сбацать. :)
     
     
  • 4.16, Аноним (-), 11:12, 13/02/2016 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > Звонок другу из дома: Маш, посмотри, что там у меня под клавой
    > написано, не могу зайти отчет сбацать. :)

    - Катя, а почему у тебя такой голос низкий?
    - Кхе-кхе.... так это я простудиась
    - а почему номер определился московский?
    - ....

     
     
  • 5.31, . (?), 21:28, 14/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Тебя послушать - та у всяких МММ и других лохотронов не ни единного шанса! А в реальности ... :-\
     
  • 4.30, Аноним (-), 21:11, 14/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    У них лучше - https://www.xkcd.com/416/
     
  • 2.29, Аноним (-), 21:04, 14/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Карты нужны, карты.

    Не забудь проверить как карты сделаны, т.к. халтура там везде. Популярный в rfid'ах mifare - обеспечит тебе "надежную" защиту. Ключом в 48 битов.

     

  • 1.17, Аноним (-), 11:45, 13/02/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А ежели заморочки доходят до таких высот, то не лучше ли на этом этапе взяться за шмарткарты?
     
     
  • 2.25, Нанобот (ok), 11:36, 14/02/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Так это ж денег стоит. А заставить сотрудников исполнять маразматичные правила безопасности - бесплатно
     
     
  • 3.32, Аноним (-), 00:50, 16/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Не только бесплатно, но ещё и очень весело!
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру