Zastanawiałeś się jak przestępcy „łamią hasła”? Odpowiedź znajdziesz w tym artykule.
- Hasła użytkowników zazwyczaj przechowujemy w bazie. Przy pomocy ataku SQL Injection czasami można je wykraść. Firmy chcą minimalizować skutki takiego wycieku dlatego zapisują je w formie hasha.
- Funkcja skrótu zamienia hasło na hash. Można to porównać do miksera, który robi smoothie. Z tych samych owoców – powstaje to samo smoothie. To samo hasło daje ten sam hash. Nie da się zamienić napoju z powrotem na owoce. Czyli nie da się stwierdzić na podstawie samego hasha jakie hasło zostało użyte do jego stworzenia.
- Jedyna pewna metoda na odnalezienie hasła to sprawdzanie wszystkich możliwości po kolei. Czyli sprawdzamy hasło aaa, aab, aac. Ale może to trwać bardzo długo – dlatego najpierw używa się szybszych metod.
- Najprostsza to atak słownikowy. Mamy plik tekstowy, w którym znajdują się hasła – każde w nowej linii. Program wylicza na ich podstawie hashe i porównuje z tym, co chcemy znaleźć. Można tak też generować nowe słowa – łącząc frazy z dwóch różnych słowników. Program pozwala również na dodawanie znaków na początek/koniec hasła (bo użytkownicy lubą dopisywać wykrzyknik na koniec hasła). Minusy? Jeśli wyrazu nie ma w słowniku – to nic nie znajdziemy
- Sporo osób wykorzystuje „algorytm”. Na przykład zamienia każdą literę „s” na znak dolara „$”. Reguły to specjalny mini język programowania. Pokazuje on jak należy zmienić hasło. Zapisuje się je w postaci kilku liter. „u” oznacza „zamień wszystkie litery na ich duże odpowiedniki” a „k” – zamień miejscami pierwsze dwa znaki. „$9” dopiszę cyfrę 9 na koniec. Jeśli więc w słowniku mamy hasło „kacper” to reguła „uk$9” zamieni je na „AKCPER9”.
- Inną opcją są maski. Próbujemy przewidzieć jakie znaki użył użytkownik w konkretnym miejscu hasła. Strona prosi o dużą literę? Pewno użytkownik poda ją na początku. Wymagana jest cyfra? Pewno zostanie dopisana na koniec. To są nasze przypuszczenia. Ale jeśli są słuszne – znacząco przyspieszą atak. Maska „?l?d?s” oznacza, że pierwszy znak to mała litera, drugi to cyfra a trzeci to znak specjalny. Hashcat sprawdzi więc hasła w stylu „a4!” i „b2%” ale już nie „111” czy „BBB”.
Więcej o tym ciekawym zagadnieniu w poniższym filmie:
- Platform do nauki bezpieczeństwa jest coraz więcej. Tutaj zebrano kilka z nich.
- Funkcja „znajdź mój iPhone” może działać w nowych telefonach nawet, gdy są one wyłączone. Jak to możliwe? Kilka szczegółów jak to działa znajdziesz w tym artykule.
- Gitlab pozwalał na wysyłanie plików, które potem radośnie wypakowywał. Zapomniano jednak o linkach symbolicznych. O testowaniu funkcjonalności wysyłki plików opowiadam w tym webinarze.
- Jak zabezpiecza się bank? Monzo opisuje jak robią to u siebie.
- Nagłówek X-Forwarded-for jest popularny. Ale jego prawidłowe przetwarzanie jest skomplikowane.
- Na początku wojny zepsuto terminale VIASAT. Teraz wiemy nieco więcej na ten temat.
- Wyciąganie fragmentów informacji z kodu źródłowego strony za pomocą wyrażeń regularnych jest irytujące. htmlq pozwala robić to za pomocą selektorów z CSSa.
- GraphQL jest coraz popularniejszy. Tutaj zebrano 13 błędów, które mogą się pojawić gdy z niego korzystamy.
- Czym różni się kwalifikowany podpis elektroniczny od podpisu osobistego? Opis z prawnego punktu widzenia.
- Co trzeba umieć aby zostać DevOpsem/Frontend Developerem? Fajnie rozpisana mapa myśl (niestety nie ma jeszcze ścieżki security).
- Internet 3 tygodnie temu: uważaj na fakenewsy. Internet w Prima Aprilis: haha, dałeś się nabrać. W 1938 radio CBS nadało program wojna światów. W ziemię uderzyło UFO. Potwory zaatakowały miasto. Niektórzy uznali to za rzeczywisty reportaż. Nie usłyszeli, że to adaptacja powieści.
- Patent US5731575 opisuje ciekawy sposób alarmowania policji w sytuacji gdy zostaliśmy zmuszeni do wypłaty gotówki z bankomatu. Wystarczy podać PIN ale zapisany wspak. Czyli zamiast 1234 – 4321. System nie spotkał się jednak z dużym zainteresowaniem. Bo co z PINem 3333 albo 7667?
