Jak hakerzy ,,łamią hasła”. Podstawy

Zastanawiałeś się jak przestępcy „łamią hasła”? Odpowiedź znajdziesz w tym artykule.

  • Hasła użytkowników zazwyczaj przechowujemy w bazie. Przy pomocy ataku SQL Injection czasami można je wykraść. Firmy chcą minimalizować skutki takiego wycieku dlatego zapisują je w formie hasha.
  • Funkcja skrótu zamienia hasło na hash. Można to porównać do miksera, który robi smoothie. Z tych samych owoców – powstaje to samo smoothie. To samo hasło daje ten sam hash. Nie da się zamienić napoju z powrotem na owoce. Czyli nie da się stwierdzić na podstawie samego hasha jakie hasło zostało użyte do jego stworzenia.
  • Jedyna pewna metoda na odnalezienie hasła to sprawdzanie wszystkich możliwości po kolei. Czyli sprawdzamy hasło aaa, aab, aac. Ale może to trwać bardzo długo – dlatego najpierw używa się szybszych metod.
  • Najprostsza to atak słownikowy. Mamy plik tekstowy, w którym znajdują się hasła – każde w nowej linii. Program wylicza na ich podstawie hashe i porównuje z tym, co chcemy znaleźć. Można tak też generować nowe słowa – łącząc frazy z dwóch różnych słowników. Program pozwala również na dodawanie znaków na początek/koniec hasła (bo użytkownicy lubą dopisywać wykrzyknik na koniec hasła). Minusy? Jeśli wyrazu nie ma w słowniku – to nic nie znajdziemy
  • Sporo osób wykorzystuje „algorytm”. Na przykład zamienia każdą literę „s” na znak dolara „$”. Reguły to specjalny mini język programowania. Pokazuje on jak należy zmienić hasło. Zapisuje się je w postaci kilku liter. „u” oznacza „zamień wszystkie litery na ich duże odpowiedniki” a „k” – zamień miejscami pierwsze dwa znaki. „$9” dopiszę cyfrę 9 na koniec. Jeśli więc w słowniku mamy hasło „kacper” to reguła „uk$9” zamieni je na „AKCPER9”.
  • Inną opcją są maski. Próbujemy przewidzieć jakie znaki użył użytkownik w konkretnym miejscu hasła. Strona prosi o dużą literę? Pewno użytkownik poda ją na początku. Wymagana jest cyfra? Pewno zostanie dopisana na koniec. To są nasze przypuszczenia. Ale jeśli są słuszne – znacząco przyspieszą atak. Maska „?l?d?s” oznacza, że pierwszy znak to mała litera, drugi to cyfra a trzeci to znak specjalny. Hashcat sprawdzi więc hasła w stylu „a4!” i „b2%” ale już nie „111” czy „BBB”.

Więcej o tym ciekawym zagadnieniu w poniższym filmie:

  • Platform do nauki bezpieczeństwa jest coraz więcej. Tutaj zebrano kilka z nich.
  • Funkcja “znajdź mój iPhone” może działać w nowych telefonach nawet, gdy są one wyłączone. Jak to możliwe? Kilka szczegółów jak to działa znajdziesz w tym artykule.
  • Gitlab pozwalał na wysyłanie plików, które potem radośnie wypakowywał. Zapomniano jednak o linkach symbolicznych. O testowaniu funkcjonalności wysyłki plików opowiadam w tym webinarze.
  • Jak zabezpiecza się bank? Monzo opisuje jak robią to u siebie.
  • Nagłówek X-Forwarded-for jest popularny. Ale jego prawidłowe przetwarzanie jest skomplikowane.
  • Na początku wojny zepsuto terminale VIASAT. Teraz wiemy nieco więcej na ten temat.
  • Wyciąganie fragmentów informacji z kodu źródłowego strony za pomocą wyrażeń regularnych jest irytujące. htmlq pozwala robić to za pomocą selektorów z CSSa.
  • GraphQL jest coraz popularniejszy. Tutaj zebrano 13 błędów, które mogą się pojawić gdy z niego korzystamy.
  • Czym różni się kwalifikowany podpis elektroniczny od podpisu osobistego? Opis z prawnego punktu widzenia.
  • Co trzeba umieć aby zostać DevOpsem/Frontend Developerem? Fajnie rozpisana mapa myśl (niestety nie ma jeszcze ścieżki security).
  • Internet 3 tygodnie temu: uważaj na fakenewsy. Internet w Prima Aprilis: haha, dałeś się nabrać. W 1938 radio CBS nadało program wojna światów. W ziemię uderzyło UFO. Potwory zaatakowały miasto. Niektórzy uznali to za rzeczywisty reportaż. Nie usłyszeli, że to adaptacja powieści.
  • Patent US5731575 opisuje ciekawy sposób alarmowania policji w sytuacji gdy zostaliśmy zmuszeni do wypłaty gotówki z bankomatu. Wystarczy podać PIN ale zapisany wspak. Czyli zamiast 1234 – 4321. System nie spotkał się jednak z dużym zainteresowaniem. Bo co z PINem 3333 albo 7667?

Podziel się postem :)

Najnowsze:

Bezpieczeństwo

Zalecana pilna aktualizacja Google Chrome z powodu wykrytej luki 0-day

Google Chrome wymaga natychmiastowej aktualizacji w związku z odkryciem kolejnej luki 0-day. Najnowsza aktualizacja przeglądarki zawiera poprawki, w tym kluczową łatkę dla luki oznaczonej jako CVE-2023-6345, której wykorzystywanie zostało zaobserwowane w praktyce przez atakujących.

Bezpieczeństwo

Za sprawą ataku ransomware wyciekły medyczne dane Polaków

Do internetu wyciekły wyniki badań medycznych wykonanych przez ostatnie kilka lat w jednej z największych ogólnopolskich sieci laboratoriów medycznych, firmy ALAB. Wyciek danych jest wynikiem ataku grupy ransomware, a dane uważane są za próbkę.

Oprogramowanie

WordPress 6.4: Nowe funkcje, ulepszenia i zmiany

WordPress 6.4 to najnowsza wersja popularnego systemu zarządzania treścią, który oferuje wiele nowych funkcji, ulepszeń i zmian. Ta aktualizacja, która została zaplanowana na 7 listopada 2023 roku, wprowadza wiele interesujących nowości, które warto poznać. Poniżej przedstawiam szczegółowy artykuł na temat nowej wersji WordPress 6.4.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *