7 Июня, 2012

Пароли, которые мы выбираем.

Cyberwarrior
Пароли, которые мы выбираем.

Доброго времени суток всем, кто интересуется информационной безопасностью или небезопасностью. Совсем недавно из социально-профессиональной сети LinkedIn были украдены реквизиты 6.143.150  аккаунтов и, конечно же, хэши паролей этих аккаунтов были выложены в сеть.
  Мне уже давно хотелось провести небольшое исследование на тему безопасности паролей, но под руку не попадалось дампов хэшей с серьезных ресурсов. И вот момент настал. Я буду краток…
  Мной была проведена атака по словарю…
Полный перебор я специально не  использовал, так как теряется смысл изыскания, а наша задача – понять, как пользователи «выдумывают» себе пароли.
Итак, что имелось в наличии:
-  словарь 580.738.891 уникальных слов (реальные слова
        различных народов мира, дампы паролей, а также комбинации часто встречающихся фраз).
-  программа брутфорсер oclHashcat-plus
-  дамп хэшей(SHA1) с LinkedIn

Пароли находились как прямым сравнением со словарем, так и применением к этому словарю самых распространенных правил.
  - «мутирование» регистров символов в слове (password - >
PaSSwoRd)  
  - дублирование символовслова, инверсия слова, вращение
    (password - > passwordpasswordpassword)
  -  добавление спец. символов в начало и конец (password - >
password2012)
  -  замена символов на символы схожие в написании (password - >
p@$$word)
  -  и многие другие.
Итого было найдено 36771 из 6.143.150 паролей. Примечательно то, что поиск дублей в дамбе показал лишь 146265 хэшей, это крайне меня удивило. Число найденных паролей не так велико, но присмотримся к результатам.
len: 6  count:179
len: 7  count:967
len: 8  count:13153 -  фаворит 8 символьный пароль.
len: 9  count:5544         -        второе, просадка по кол-ву больше чем в  два раза
len: 10  count:4961
len: 11  count:4383
len: 12  count:3264
len: 13  count:1926
len: 14  count:1124
len: 15  count:513
len: 16  count:689
len: 17  count:24
len: 18  count:24
len: 19  count:7
len: 20  count:5
len: 21  count:2
len: 22  count:2
len: 24  count:2
len: 26  count:2    - встречались и такие особи.
диаграмма распределения длин паролей:


А теперь главное, вернемся к теме «Пароли, которые мы выбираем»
Стоит отдать должное LinkedIn, цифровые пароли там запрещены (не одного не было найдено). Я не стану уделять внимание слабым паролям, а обращусь сразу к сложным. Очень много паролей, основанных на преобразованных словах, например, таких, которые, я указал в правилах «мутации» слов.  Встречаются пароли типа ФАМИЛИЯ-ИМЯ, длинный пароль, но, тем не менее, достаточно иметь дамб имен с того же Facebook, чтобы с легкостью находить пароли такого типа. Дублирование слов создает длинные пароли, но крайне уязвимые против атак по словарю, например: «principinoprprincipinopr» - 24 символа, недоступные для прямого брутфорса, по причине «столетий» оказывается бесполезным против атак по словарям.
Различные крылатые выражения, также используются в качестве паролей. Проблема очевидна, они могут быть в словаре, а благодаря правилам «мутации», подставляемых в хэш функцию слов, хоть 10 раз напишите «ilovecats», такой пароль будет найден.
  Отношение паролей использующих символы в нижнем регистре составляет примерно 82%, остальные же 18%  - это смешанные или пароли в верхнем регистре.
  Я не стану утверждать, что данная статистика абсолютно точна, ведь есть ещё 6.106.379 нерасшифрованных хэшей.
  Подведу итоги в виде рекомендаций:
- аксиома №1 «Не создавай пароль меньше 12 символов».
- аксиома №2 «Не создавай пароль из цифр».
- аксиома №3 «Используй в пароле буквы в верхнем и нижнем регистре, а
 также цифры и символы»
- аксиома №4 «Не используй дублирующиеся слова, не важно насколько они
 сложны по отдельности».
- аксиома №5 «Не изменяй реальное слово, используя замены, дабы
 превратить его в сложное, но читаемое»
- аксиома №6 последняя «Если ты с трудом запомнил свой пароль, или без  
 записи его, где-либо тебе не обойтись, знай это стойкий пароль!»

Спасибо всем за внимание, прошу простить за несколько художественный стиль повествования. Первая статья комом :D
comments powered by Disqus