Jak hakerzy ,,łamią hasła”. Podstawy

Zastanawiałeś się jak przestępcy „łamią hasła”? Odpowiedź znajdziesz w tym artykule.

  • Hasła użytkowników zazwyczaj przechowujemy w bazie. Przy pomocy ataku SQL Injection czasami można je wykraść. Firmy chcą minimalizować skutki takiego wycieku dlatego zapisują je w formie hasha.
  • Funkcja skrótu zamienia hasło na hash. Można to porównać do miksera, który robi smoothie. Z tych samych owoców – powstaje to samo smoothie. To samo hasło daje ten sam hash. Nie da się zamienić napoju z powrotem na owoce. Czyli nie da się stwierdzić na podstawie samego hasha jakie hasło zostało użyte do jego stworzenia.
  • Jedyna pewna metoda na odnalezienie hasła to sprawdzanie wszystkich możliwości po kolei. Czyli sprawdzamy hasło aaa, aab, aac. Ale może to trwać bardzo długo – dlatego najpierw używa się szybszych metod.
  • Najprostsza to atak słownikowy. Mamy plik tekstowy, w którym znajdują się hasła – każde w nowej linii. Program wylicza na ich podstawie hashe i porównuje z tym, co chcemy znaleźć. Można tak też generować nowe słowa – łącząc frazy z dwóch różnych słowników. Program pozwala również na dodawanie znaków na początek/koniec hasła (bo użytkownicy lubą dopisywać wykrzyknik na koniec hasła). Minusy? Jeśli wyrazu nie ma w słowniku – to nic nie znajdziemy
  • Sporo osób wykorzystuje „algorytm”. Na przykład zamienia każdą literę „s” na znak dolara „$”. Reguły to specjalny mini język programowania. Pokazuje on jak należy zmienić hasło. Zapisuje się je w postaci kilku liter. „u” oznacza „zamień wszystkie litery na ich duże odpowiedniki” a „k” – zamień miejscami pierwsze dwa znaki. „$9” dopiszę cyfrę 9 na koniec. Jeśli więc w słowniku mamy hasło „kacper” to reguła „uk$9” zamieni je na „AKCPER9”.
  • Inną opcją są maski. Próbujemy przewidzieć jakie znaki użył użytkownik w konkretnym miejscu hasła. Strona prosi o dużą literę? Pewno użytkownik poda ją na początku. Wymagana jest cyfra? Pewno zostanie dopisana na koniec. To są nasze przypuszczenia. Ale jeśli są słuszne – znacząco przyspieszą atak. Maska „?l?d?s” oznacza, że pierwszy znak to mała litera, drugi to cyfra a trzeci to znak specjalny. Hashcat sprawdzi więc hasła w stylu „a4!” i „b2%” ale już nie „111” czy „BBB”.

Więcej o tym ciekawym zagadnieniu w poniższym filmie:

  • Platform do nauki bezpieczeństwa jest coraz więcej. Tutaj zebrano kilka z nich.
  • Funkcja “znajdź mój iPhone” może działać w nowych telefonach nawet, gdy są one wyłączone. Jak to możliwe? Kilka szczegółów jak to działa znajdziesz w tym artykule.
  • Gitlab pozwalał na wysyłanie plików, które potem radośnie wypakowywał. Zapomniano jednak o linkach symbolicznych. O testowaniu funkcjonalności wysyłki plików opowiadam w tym webinarze.
  • Jak zabezpiecza się bank? Monzo opisuje jak robią to u siebie.
  • Nagłówek X-Forwarded-for jest popularny. Ale jego prawidłowe przetwarzanie jest skomplikowane.
  • Na początku wojny zepsuto terminale VIASAT. Teraz wiemy nieco więcej na ten temat.
  • Wyciąganie fragmentów informacji z kodu źródłowego strony za pomocą wyrażeń regularnych jest irytujące. htmlq pozwala robić to za pomocą selektorów z CSSa.
  • GraphQL jest coraz popularniejszy. Tutaj zebrano 13 błędów, które mogą się pojawić gdy z niego korzystamy.
  • Czym różni się kwalifikowany podpis elektroniczny od podpisu osobistego? Opis z prawnego punktu widzenia.
  • Co trzeba umieć aby zostać DevOpsem/Frontend Developerem? Fajnie rozpisana mapa myśl (niestety nie ma jeszcze ścieżki security).
  • Internet 3 tygodnie temu: uważaj na fakenewsy. Internet w Prima Aprilis: haha, dałeś się nabrać. W 1938 radio CBS nadało program wojna światów. W ziemię uderzyło UFO. Potwory zaatakowały miasto. Niektórzy uznali to za rzeczywisty reportaż. Nie usłyszeli, że to adaptacja powieści.
  • Patent US5731575 opisuje ciekawy sposób alarmowania policji w sytuacji gdy zostaliśmy zmuszeni do wypłaty gotówki z bankomatu. Wystarczy podać PIN ale zapisany wspak. Czyli zamiast 1234 – 4321. System nie spotkał się jednak z dużym zainteresowaniem. Bo co z PINem 3333 albo 7667?

Podziel się postem :)

Najnowsze:

Bezpieczeństwo

Microsoft został zaatakowany przez rosyjskich hakerów

Niedawno doszło do ataku na systemy Microsoftu, przeprowadzonego przez grupę Midnight Blizzard, znana także jako NOBELIUM, która jest sponsorowana przez rosyjski rząd. Atak ten skutkował przełamaniem zabezpieczeń i nieautoryzowanym dostępem do części korespondencji e-mail firmy.

Oprogramowanie

Nowości w Bardzie – Gemini Pro i generowanie obrazów

Z początkiem lutego Google zapowiedziało kolejne nowości w Bard AI. Narzędzie zyskało dostęp do Gemini Pro w języku polskim (i wielu innych), więc teraz zaawansowany model sztucznej inteligencji może się wykazać także „po naszemu”. A to nie wszystko, bo kolejnym ulepszeniem jest silnik Imagen 2, odpowiedzialny za generatywne tworzenie grafiki.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *