web-dev-qa-db-ja.com

ハッカーは、ロックアウトされずに(辞書攻撃またはブルートフォースを使用して)パスワードを推測できますか?

現在、登録したいほとんどすべてのWebサイト。複雑なパスワードを作成するように求めています...しかし、なぜ単純なパスワードを使用できないのですか?

間違ったパスワードが複数回入力された場合、私はただ不思議に思っています。最近の多くのウェブサイトやデバイスは、ロックアウトシステムを使用しています。このシステムは、リカバリオプションが実行されるまで永久にロックアウトしますOR特定の期間ロックアウトします...さらに、一部のウェブサイトはキャプチャを使用して、反対側には、ツールやスクリプトだけではなく、人間がいます...

誰かがこれについて詳しく説明できるとしたら、ハッカーがこれらのセキュリティ対策を講じてパスワードを推測するのはどのように実用的(または可能な場合でも)なのでしょうか....わかっていますこれは、それは私に起こりました。私は6文字のパスワード(文字と数字を含み、特殊文字や大文字は含まない)のYahooメールアカウントを持っていて、ハッカーがそれにアクセスして、アドレス帳の連絡先にスパムを送信し始めました。そして、私のパスワードはフィッシング、ソーシャルエンジニアリング、またはキーロガーによってキャプチャされていないであったと確信しています。

正確なツールやスクリプトを探しているのではなく、推測を楽しまないセキュリティ対策を講じているにもかかわらず、パスワード推測が成功する背後にあるアイデアを探しています。 たとえば、、パスワードが文字のみで6文字しかなかったとしても、誰かが私のパスワードを推測するにはどうすればよいですかgmailパスワード?

8
Identicon

アカウントロックアウトは、攻撃者が特定の1つのアカウントをターゲットにしている場合に、ブルートフォースログインを効果的に制限する手段です。多くのアカウントにわたる一括攻撃に対して効果的ではありません。たとえば、すべてのユーザーに同じ共通のパスワードを試しながら、考えられるすべてのユーザー名を試して、一部のアカウントを回復することができます。

CAPTCHAでさえ、クラッキングとCAPTCHAファーマーに直面した場合のレート制限機能です。

それが私に起こったからです。

ログインインターフェイスに対するブルートフォースが原因で発生したかどうかは不明です。前述のフィッシング攻撃やトロイの木馬攻撃に加えて、XSRFなどの他のWeb脆弱性の可能性を除いて、Yahooのデータベースは過去に間違いなく侵害されています(おそらく、一般的なパスワードと短いパスワードでリバーシブルになる可能性のあるハッシュをリークします)。さらに、他の場所でパスワードを使用した場合、他のサイトが侵害された可能性があります。 Yahooは歴史的に、これらすべてのものの混合である可能性が高いアカウントの侵害について特に悪い評判を持っています。

6
bobince

ロックアウトまたはキャプチャメカニズムを使用して、オンライン攻撃者がブルートフォース検索を実行できないようにします。ロックアウト時間が10分である場合、100万(2 ^ 20)語の辞書を総当たりするために、攻撃者は6944日または約20年を必要とします。計算を以下に示します。

私。ロックアウト時間が10分の場合、攻撃者は辞書から1時間あたり6語を試すことができます。 ii。 1日で24 * 6 = 144ワード。 iii。辞書を使い尽くすのに必要な日数= 2 ^ 20/144 = 6944日。

したがって、辞書からパスワードを設定した場合、オンライン攻撃を使用して20年以内にパスワードは確実に破られます。そのためには、平均して10年かかります。

ただし、より多くの脅威はオフライン攻撃から来ています。攻撃者が辞書のパスワードのハッシュを持っている場合、攻撃者は1秒以内にそれを破ることができます。

1
Curious

現在、ブルートフォース攻撃のほとんどは、パスワードや辞書攻撃ではなく、コンボリストを使用しています。コンボリストは、username:passwordという形式のユーザーのユーザー名とパスワードです。彼らは、SQLインジェクション、フィッシングページ、キーロガーを使用してデータベースをハッキングし、さらにGoogle Dorksを使用してネット上のウェブサイトのダンプを見つけ出します。

Webサイトまたはフォーラムに登録したばかりのシナリオを考えてみてください。このWebサイトは、SQLインジェクションに対して脆弱なデータベースにログインユーザー名とパスワードを保持しています。ハッカーはデータベースをハッキングし、そこからすべてのユーザー名とパスワードを引き出します。ほとんどの人はすべてに同じユーザー名とパスワードを使用するため、このユーザー名とパスワードのコンボリストをさまざまなWebサイトに対して実行すると、通常、常にいくつかのヒットが得られます。別の方法は、フォーラムのメンバーリストをリーチすることです。これにより、ほとんどの場合、すでにログインユーザー名を持っています。よくある間違いの1つは、パスワードをユーザー名と同じにするか、123456またはWordのパスワードをパスワードとして使用することです。だからあなたがすることは、すべてのユーザー名が同じパスワードを持つリストを作成することです。あなたは常に123456、パスワード、またはユーザー名をパスワードとして使用した人を取得します。

1
Anonymous User

この場合、彼らはどういうわけかあなたのパスワードのハッシュを手に入れなければならないでしょう。それに対してツールを実行します。これにより、生成される可能性のあるハッシュが実際のハッシュと比較されます。ハッシュが一致する場合、そのハッシュを生成するために必要なパスワードがわかります。これで、Yahooアカウントへのログインは1回で済みます。

1
RoraΖ