ハッカーは、ロックアウトされずに（辞書攻撃またはブルートフォースを使用して）パスワードを推測できますか？

アカウントロックアウトは、攻撃者が特定の1つのアカウントをターゲットにしている場合に、ブルートフォースログインを効果的に制限する手段です。多くのアカウントにわたる一括攻撃に対して効果的ではありません。たとえば、すべてのユーザーに同じ共通のパスワードを試しながら、考えられるすべてのユーザー名を試して、一部のアカウントを回復することができます。

CAPTCHAでさえ、クラッキングとCAPTCHAファーマーに直面した場合のレート制限機能です。

それが私に起こったからです。

ログインインターフェイスに対するブルートフォースが原因で発生したかどうかは不明です。前述のフィッシング攻撃やトロイの木馬攻撃に加えて、XSRFなどの他のWeb脆弱性の可能性を除いて、Yahooのデータベースは過去に間違いなく侵害されています（おそらく、一般的なパスワードと短いパスワードでリバーシブルになる可能性のあるハッシュをリークします）。さらに、他の場所でパスワードを使用した場合、他のサイトが侵害された可能性があります。 Yahooは歴史的に、これらすべてのものの混合である可能性が高いアカウントの侵害について特に悪い評判を持っています。

ロックアウトまたはキャプチャメカニズムを使用して、オンライン攻撃者がブルートフォース検索を実行できないようにします。ロックアウト時間が10分である場合、100万（2 ^ 20）語の辞書を総当たりするために、攻撃者は6944日または約20年を必要とします。計算を以下に示します。

私。ロックアウト時間が10分の場合、攻撃者は辞書から1時間あたり6語を試すことができます。 ii。 1日で24 * 6 = 144ワード。 iii。辞書を使い尽くすのに必要な日数= 2 ^ 20/144 = 6944日。

したがって、辞書からパスワードを設定した場合、オンライン攻撃を使用して20年以内にパスワードは確実に破られます。そのためには、平均して10年かかります。

ただし、より多くの脅威はオフライン攻撃から来ています。攻撃者が辞書のパスワードのハッシュを持っている場合、攻撃者は1秒以内にそれを破ることができます。

現在、ブルートフォース攻撃のほとんどは、パスワードや辞書攻撃ではなく、コンボリストを使用しています。コンボリストは、username：passwordという形式のユーザーのユーザー名とパスワードです。彼らは、SQLインジェクション、フィッシングページ、キーロガーを使用してデータベースをハッキングし、さらにGoogle Dorksを使用してネット上のウェブサイトのダンプを見つけ出します。

Webサイトまたはフォーラムに登録したばかりのシナリオを考えてみてください。このWebサイトは、SQLインジェクションに対して脆弱なデータベースにログインユーザー名とパスワードを保持しています。ハッカーはデータベースをハッキングし、そこからすべてのユーザー名とパスワードを引き出します。ほとんどの人はすべてに同じユーザー名とパスワードを使用するため、このユーザー名とパスワードのコンボリストをさまざまなWebサイトに対して実行すると、通常、常にいくつかのヒットが得られます。別の方法は、フォーラムのメンバーリストをリーチすることです。これにより、ほとんどの場合、すでにログインユーザー名を持っています。よくある間違いの1つは、パスワードをユーザー名と同じにするか、123456またはWordのパスワードをパスワードとして使用することです。だからあなたがすることは、すべてのユーザー名が同じパスワードを持つリストを作成することです。あなたは常に123456、パスワード、またはユーザー名をパスワードとして使用した人を取得します。

この場合、彼らはどういうわけかあなたのパスワードのハッシュを手に入れなければならないでしょう。それに対してツールを実行します。これにより、生成される可能性のあるハッシュが実際のハッシュと比較されます。ハッシュが一致する場合、そのハッシュを生成するために必要なパスワードがわかります。これで、Yahooアカウントへのログインは1回で済みます。