虽然密码猜测是一门科学,但并非所有攻击者都了解最新进展或关心投资 GPU 或 FPGA。
通过打开蜜罐来测试在线密码猜测攻击很容易,而且它们大多专注于琐碎的密码,甚至不会过多地针对默认密码。但是当密码数据库被暴露时,在线猜测与离线猜测有很大不同。
是否有研究或至少有案例表明密码必须有多强才能抵抗普通攻击者的猜测?攻击者必须有多“老练”才能使用诸如开膛手约翰之类的工具?
APT 和安全研究人员不在此问题的范围内。
(背景:Jeff Atwood 断言强密码是无用的,因为攻击者会坚持“低挂密码果实”是否现实?)
基本上有两种类型的攻击:有针对性的攻击(APT、高价值目标、人身攻击)和借机攻击(唾手可得)。
因此,您对针对泄露的密码数据库的离线攻击感兴趣:答案是 SOMEBODY 会费心将 JTR、OCL Hashcat 或类似工具用于该数据库。并且该人/人/组正在寻求将检索到的凭据大量出售给垃圾邮件发送者、银行帐户劫持者等。
如果你想要一个例子:http: //blogs.computerworld.com/20272/hackers_crowdsource_help_to_crack_nearly_6_5_million_leaked_linkedin_passwords http://nakedsecurity.sophos.com/2012/06/06/linkedin-confirms-hack-over-60-of-stolen-passwords -已经破解/
毕竟,如果您不打算破解密码数据库,为什么还要泄露它们呢?
并非每次密码泄露都是一样的。应用程序使用的散列函数和应用程序的密码策略应该规定您使用什么工具来破解散列。关于这个主题的一个很好的资源是 回顾 2012 年著名的密码散列泄漏——词表、分析和新的破解技术。简而言之,他们能够使用混合方法破解大多数密码哈希。
如果应用程序不加盐密码,或者盐非常小,那么彩虹表是首选工具。Rainbow Tables 是预先计算的并且免费提供。这是耗尽键空间的最快方法(特别是如果您有一个 raid 0 数组!)。由于这些原因,如果可以使用彩虹表,通常是第一种破解方法。
John the Ripper 能够使用单词列表并在单词上生成“leet speak”突变。如果密码只是一个字典词或一个词,那么开膛手约翰可以破解这个哈希值。与彩虹表不同,开膛手约翰可以接受盐作为论据,这不会妨碍破解。
如果应用程序使用 bcrypt 或 pbkdf2 的密钥拉伸,那么FPGA 和 GPU 几乎毫无价值。在 2012 年泄露的哈希分析中,GPU 能够破解大约 48% 的密码,这主要是因为 bcrypt 和 pbkdf2 不常用。
...但实际上数量并不是一切。 我完全不同意 Jeff Atwood 对这种“低挂果”的做法。最有价值的帐户是管理帐户,通常只有一个密码哈希是攻击者想要破解的,他们会尽其所能破解这个哈希。作为一名渗透测试人员,破解管理密码哈希是报告中的一个重要发现,也是链式攻击中的一个极好的链接。