Как взломать пароль графический: 24 способа разблокировать графический ключ Android • Android +1

Содержание

проверенные способы обойти блокировку на телефоне Android

Автор ITtime Опубликовано Обновлено

Каждый пользователь старается защитить свое мобильное устройство от злоумышленников. Самым простым способом решения поставленной задачи является установка на телефон или планшет пароля. Это можно сделать встроенными в Android средствами. Однако не исключена ситуация, когда секретный код забыт, и владелец гаджета не может его использовать. Чтобы взломать графический ключ, можно применить несколько способов.

Установка защитного кода

Чтобы посторонние не могли просмотреть содержимое мобильного устройства, система Андроид предлагает пользователям установить специальный код доступа. Это может быть обычный пароль или графический ключ. Последний вид кода является новой разработкой, и при его использовании не нужно запоминать сложные буквенно-цифровые пароли. Для входа в гаджет пользователю достаточно лишь соединить точки в той последовательно, которая была придумана на момент установки ключа.

Использовать этот метод защиты можно не только на китайском смартфоне, но и на продуктах известных брэндов, например, HTC. Для решения поставленной задачи необходимо сделать следующие действия:

  • выполняется вход в настройки гаджета, после чего предстоит перейти в меню личных данных;
  • в опции безопасности выбирается пункт «Блокировка экрана»;
  • в появившемся окошке отмечается строка «Графический ключ»;
  • затем нужно соединить несколько точек в придуманной последовательности и подтвердить комбинацию.

После сохранения изменений для входа в смартфон достаточно начертить нужную фигуру.

Способы обхода блокировки

Если пользователь забыл ключ, то его можно разгадать несколькими способами. Иногда встречается рекомендация сделать сброс настроек к заводским. Этот вариант стоит использовать в последнюю очередь, чтобы попробовать восстановить доступ без потери данных.

Простые методы

Если на мобильном гаджете используется не только графический ключ, но и цифровой пароль, то обойти блокировку будет крайне легко. Сначала необходимо несколько раз начертить неправильную фигуру, пока все попытки не будут исчерпаны. Сразу после этого появится окошко с сообщением «Разблокировать другим методом» и поле для ввода цифрового пароля. Однако следует предупредить, что такая возможность будет предоставлена операционной системой только в том случае, если пользователь заранее настроил несколько способов блокировки.

Чтобы снять графический ключ с Андроида старых версий, можно сделать на смартфон звонок с другого телефона. После принятия вызова гаджет будет активным, остается зайти в настройки и убрать либо поменять секретный код. Таким образом, владельцам Android версий до 5.0 не стоит думать, что делать, если забыт графический ключ. Эта проблема решается быстро и элегантно.

В новых редакциях операционки этот способ не сработает, но может помочь специальный софт:

  • Pattern Unlock;
  • Bypass;
  • Delete Lock и другие специализированные утилиты.

Эти программы устанавливаются не только на мобильный гаджет, но и на ПК. Если телефон заблокирован, то обмануть девайс можно, запустив процесс обнуления кода через компьютер.

Личный аккаунт Google

Чтобы сбросить графический ключ, можно воспользоваться учетной записью Гугл. После того как попытки угадать не принесли положительного результата, через полминуты появится сообщение «Забыли пароль?». После нажатия на эту кнопку пользователь будет перенаправлен на сайт Google. Выполнив вход в аккаунт, можно скинуть старый код и поставить новый.

Однако для использования этого метода потребуется доступ в интернет. Если в пределах видимости мобильного гаджета оказался роутер, к которому он уже подключался, то остается лишь выбрать нужную сеть. После этого соединение произойдет в автоматическом режиме.

Однако возможна ситуация, что известных точек доступа к интернету рядом не оказалось. В таком случае нужно выполнить несколько действий:

  • на экране блокировки кликнуть на кнопку «Экстренный вызов»;
  • в появившемся окне набрать следующую комбинацию символов — *#*#7378423#*#*;
  • выбрать пункт Service Tests или Service Provider;
  • кликнуть на WLAN;
  • подключиться к сети Wi-Fi.

Если рядом не оказалось роутера, то можно воспользоваться мобильным интернетом.

Режим Recovery Mode

Для использования этого метода разблокировки необходимо активировать опцию Recovery Mode. Следует заметить, что она может отсутствовать в прошивках сторонних разработчиков. Чтобы открыть нужный режим, девайс необходимо выключить. Затем предстоит одновременно нажать кнопку регулировки громкости, питания и «Домой», а затем удерживать их не менее 15 секунд.

После этого появится окно со специальными командами. На следующем этапе для сброса пароля нужно посетить директорию data system и удалить файл gesture. key. Именно в нем содержится вся информация об установленном на гаджете секретном коде. Также это можно сделать с помощью ПК. Для этого достаточно подсоединить телефон к компьютеру и воспользоваться встроенным в Windows проводником. Перейдя в нужную директорию мобильника, остается удалить файл с данными о коде и тем самым снести блокировку.

Можно разблокировать телефон еще одним способом, связанным с режимом Recovery Mode. Однако для его реализации на девайсе должна быть установлена утилита GEST. Сделать это можно с помощью ПК. Утилита автоматически находит файл gesture. key и удаляет его. После того как архив будет перенесен на телефон, необходимо активировать Recovery Mode. Затем остается установить утилиту и перезагрузить девайс. Когда появится экран блокировки, нужно начертить любую графическую фигуру, даже неверную. Доступ к смартфону будет восстановлен в любом случае.

Если ни один из способов не позволил отгадать код, то остается воспользоваться крайним средством — сбросить настройки к дефолтным. Следует помнить, что он не позволит узнать, какой ключ использовался ранее, а просто обнулит всю информацию на гаджете. Таким образом, все данные, записанные на телефоне, пропадут. Именно поэтому предварительно стоит извлечь флеш-накопитель. После активации режима Recovery Mod нужно выбрать строку wipe data/factory reset и нажать «Ввод». После этого телефон автоматически перезагрузится.

Прибегать к сбросу настроек к заводским приходится редко. Чаще всего пользователи справляются с возникшей проблемой самостоятельно.

Как взломать графический ключ за 5 попыток

Специалисты Ланкастерского университета (Великобритания), Университета Бат (Великобритания) и Северо-западного университета (Китай) изобрели алгоритм, который позволяет подобрать графический ключ на смартфоне или планшете. Что примечательно — чем сложнее этот ключ, тем проще он поддаётся подбору.

Графический ключ — замена паролю или PIN-коду, которая используется на устройствах с Android. Он считается более удобным и безопасным, хотя исследователи безопасности и ранее говорили, что он легко подвержен подбору, поскольку большая часть пользователей рисует его по одним и тем же шаблонам — начиная с одного из углов и проходя через 4 точки. Обычно в графическом ключе 9 точек (3×3), что даёт как минимум 400 тысяч возможных комбинаций. После пяти неудачных попыток ввод ключа временно блокируется.

Для подбора чужого графического ключа злоумышленнику необходим собственный смартфон с камерой и специальным приложением. Хакер должен сесть неподалёку от жертвы (сбоку или прямо перед ней на расстоянии не более 5 метров), снять на видео, как та разблокирует смартфон и загрузить эту запись в приложение. Программа проанализирует движение пальцев жертвы и предложит несколько вариантов возможного ключа. Как показал эксперимент, в 95% случаев один из пяти предложенных алгоритмов вариантов оказывается подходящим.

Простые графические ключи распознаются с меньшей точностью, а чем больше «узоров» в ключе, тем проще его подобрать.

Исследователи считают, что такие алгоритмы могут быть приняты на вооружение спецслужбами: они могут вести скрытую съёмку интересующих их лиц, а затем завладевать чужими смартфонами (например, с помощью незаметной кражи) и извлекать из них нужную информацию. Впрочем, у спецслужб могут быть и менее замудрённые способы получения сведений.

Полный отчёт о работе этого алгоритма будет представлен в конце февраля 2017 года на Симпозиуме сетевой и распределенной безопасности, который проходит в Сан-Диего.

Самый простой способ защиты от перехвата данных такого рода — использовать пароль (хотя и он может быть перехвачен). Лучше всего пользоваться двухступенчатой защитой — сканером отпечатков пальцев и паролем или графическим ключом. Ещё один действенный метод — прикрывать другой рукой экран, когда вы вводите на нём пароль или ключ. В любом случае, все эти меры не обеспечат 100-процентной защиты, и нужно быть готовым к тому, что ваш смартфон будет взломан, то есть лучше не держать на нём ничего, что могло бы вас скомпрометировать или предоставить доступ к каким-либо материалам, не предназначенным для посторонних.

взломать графический пароль Андроида можно » Я Устал

Если вы один из тех сотен миллионов, которые «пользуют» графический ключ, чтобы защитить свой девайс от несанкционированного доступа, то вам стоит пересмотреть меры безопасности и своё отношение к этому варианту.

Самый простой способ мне показали друзья — просто взяли мой телефон, посмотрели на экран под углом и увидели полоски движения пальца по точками. Потом за пару вариантов подобрали мой не сложный графический ключ.

На днях было выявлен более технологичный вариант взлома, причем программисты пришли к выводу, что сложный «узор» — вообще не спасение. Так что же это за вариант?

Что такое графический пароль? Заместо числового пароля вам предлагается выдумать замысловатую фигуру, которую надлежит оформить, проведя пальчиком по экрану через любые 9 точек. Cмартфон можно разблокировать, повторив изначально заданную фигуру. Если Федот не тот, теряешь право на вход.

Раньше на телефонах «стояли» пароли. Потом появились более замысловатые способы защиты от вторжения. Ожидалось счастье человечества. Но вот графический пароль есть, а счастья нет.

Специалисты по информационной безопасности из Ланкастерского университета, Университета Бата (Великобритания) и Северо-западного политеха (г. Сиань, КНР) научились с помощью алгоритмов компьютерного зрения подбирать графический ключ для разблокировки смартфонов на базе «Андроида».

Алгоритм компьютерного зрения — это когда сначала на видео записывается то, как пользователь водит пальцем по экрану, а потом программа анализирует движения пальцем, чтобы подобрать возможные варианты экранной «хореографии» и разлочить устройство.

Суть эксперимента
Для проверки методики программисты попросили 120 человек придумать графический ключ. Добровольцы ухищрялись как могли: меняли направление движения пальца, рисовали сложные фигуры.

Однако положение их было ужасно! Для анализирующего алгоритма неважно, как быстро, или как замысловато сформирован «рисунок» ключа. Главное, что есть злоумышленник, есть видеокамера, и всё записано на видео. «Скормив» это видео программе с разработанным алгоритмом мы получаем варианты графического ключа.

Надо заметить, что программистам удалось разблочить телефон в 95% случаев, причём на это ушло не более 5 попыток. Для повышения безопасности исследователи советуют всякий раз прикрывать второй рукой экран смартфона при его разблокировке. Также можно прибегнуть к обманным движениям пальцами, чтобы запутать анализирующий алгоритм вора.

А вот еще есть ролики, как разблокировать смарт защищенный графическим ключом:


Забыл графический ключ как разблокировать телефон

Забыли пароль или графический ключ на Андроид телефоне? – Не беда, в данной статье мы заставим ваш смартфон снять всю защиту. В качестве самого простого метода защиты своего смартфона от посторонних глаз (а иногда и рук), обычная блокировка системы является универсальным вариантом. Как не крути, но угадать заданную комбинацию цифр практически невозможно, но подобная защита может обернуться и против самого хозяина устройства. Пароли к телефонам забываются настолько часто, что существует целый набор возможных методов его обхода, актуальных как для всех устройств на базе Андроид, так и для смартфонов от конкретных производителей.


Содержание:

Как разблокировать телефон, если забыл графический пароль

Как разблокировать телефон Леново – в качестве универсального метода, который подходит почти под любое устройство можно назвать вход в личный аккаунт Google. Если подключение к сети есть – графический ключ можно будет или сразу же изменить или убрать полностью. В отличие от других конкурентов, Леново не имеет простых и доступных инструментов для возможности снять графический ключ, то, конечно же, плохо. Если он забыт – придется воспользоваться или услугами мастерской, или разблокировать через обычный сброс настроек в режиме «Recovery» (об этом смотрите в разделе о «взломе» немного ниже).

Как разблокировать телефон Самсунг — этот же производитель подготовлен к подобным ситуациям заметно лучше и предлагает даже специальную программу на персональный компьютер. Если зайти в свой Google аккаунт также не удалось – скачайте программу «Samsung @ home» или «Kies» (на более старых устройствах). После подключения устройства через кабель USB – оно автоматически будет найдено и в окне утилиты появится полный доступ ко всем файлам смартфона, его системе и всему что там есть. С помощью специального пункта о сбросе графического пароля – смартфон автоматически будет разблокирован.

Разблокируем Сони – есть сразу два возможных решения подобной проблемы: с помощью специального кода или программы. Обратите внимание, что код позволяет всего за несколько секунд обойти блокировку без любых лишних махинаций, но работает только на устройствах серии Xperia.

Для этого повторите следующие действия: нажмите на клавишу «Экстренного вызова» — введите код «#*#7378423#*#» — выберете из появившегося меню пункт «Service Test». В полученном списке действий нажмите на «NFC», а затем сразу и на «NFC Diag Test», которое запустит самую обычную диагностику устройства и после неё, саму систему (без графического пароля).

Если ничего не получилось или устройство принадлежит к другому семейству придется скачать приложение «PC Companion» — схожую по принципу с «Samsung @ home».

Как разблокировать телефон LG – здесь всё в разы сложнее и никакой программы для сброса графического ключа не предусмотрено. Вместо этого, на подобии устройств от Сони они имеют специальные коды, которые, в прочем, меняются для каждой новой модели. Самостоятельным решением подобной проблемы может быть только сброс всех настроек и файлов, что неудобно, обидно, но необходимо. В противном случае придется посетить мастерскую или прибегнуть к посторонним программам на ПК.

Как разблокировать Fly – существует всего один возможный вариант действий: позвоните на свой же заблокированный телефон и поднимите трубку. Во время «разговора» с помощью клавиши «Home» выйдите в меню устройства – «настройки» и там выключите защиту графическим ключом. Такой способ может сработать с вероятностью 50 на 50, а если ваш смартфон этого не позволяет – поможет только сброс.

Как убрать (снять) графический ключ с андроида

Если смартфон всё же разблокирован, но есть необходимость снять графический код – сделать это можно в «настройках безопасности». В случае блокировки – придется перейти в режим «Recovery» и произвести сброс пользовательских настоек (откат). Не путайте с пунктом «hard reset», удаляющим абсолютно все данные, обычный откат настоек не повредит никакой информации, но позволит настроить телефон с чистого листа.

Как перейти в режим «Recovery»: выключить смарфон – зажать одновременно клавишу увеличения громкости и включения. Управление производится клавишами регулировки громкости и кнопкой «Home» (не сенсором).

Совет: Если сброс ничего не дал и настройки не «откатились» к началу – достаньте из устройства симкарту, SD карту и попробуйте процедуру заново.

Как взломать графический ключ на телефоне или планшете

С подобной махинацией поможет специально подготовленный архив «Gest.zip», который можно скачать по ссылке: https://www.dropbox.com/s/upxad2wcgaf2udg/GEST.zip. Он поможет взломать графический ключ, но перед тем как разблокировать устройство – его придется «обновить». Переименуйте архив в «update.zip» и перейдите в уже упомянутый режим «Recovery». В нём перейти в пункт «Install zip from SdCard» и перепрошить этим файлом свою систему. Обратите внимание, что сам графический ключ останется, но теперь система будет считать верным любой код (неважно какой).

Как разблокировать телефон если забыл числовой пароль (ключ)

Ситуация ровным счётом идентичная. Для того чтобы исправить подобное происшествие существует три возможных действия:

  • Воспользоваться специальными программами на ПК;
  • Пеперошить устройство;
  • И сбросить все настройки к начальному состоянию.

Обратите внимание, что модель самого устройства здесь особой роли не играет (только на наличие ПО) и другими методами с забытым ключом не справиться.

Программы для разблокировки телефонов

Кроме официальных и уже упомянутых программ, предназначенных строго для смартфонов определенного семейства, есть целый ряд и неофициальных. Среди них стоит попробовать такие как:

Adb — программа работает строго через скрипт, в котором нужно прописать такие команды как:

  • update system set value=0 where name=`lock_pattern_autolock`;
  • Затем: update system set value=0 where name=`lockscreen.lockedoutpermanently`;
  • Дальше: .quit
  • И adb reboot.

Если ничего не помогло – то программы не подходят для вашего случая и смотрите следующий раздел.

AROMA Filemanager – ставится не на ПК, а прямо на устройство. Зайдя в приложение с режима Recovery можно просто удалить файл «GESTURE.KEY», что также может помочь.

Если нечего не помогает — крайний 100% способ сбросить пароль

Если ни один вариант не подошел – придется пойти на крайние меры. Зайдите в режим «Recovery» используя указанную ранее комбинацию клавиш, после чего вместо обычного «Reset» выбрать «Hard Reset». В результате устройство очиститься полностью, включая настройки, пользовательскую информацию, контакты и даже загруженные в смартфон медиафайлы. Это будет совершенно пустое устройство.

Как предотвратить случайную блокировку телефона

Перед тем как взломать графический ключ можно просто попробовать предотвратить само его включение. В любом смартфоне предусмотрен целый ряд инструментов, которые сами определяют, когда устройство должно быть заблокировано, а когда нет. Например, для того чтобы смартфон не блокировался – отключите такую функцию в пункте о настройках дисплея и т.д. ( все пункты настойки графического ключа находятся в пункте «безопасность» и даже если Вы несколько раз случайно ввели неправильный код – делать это можно до бесконечности).

Ну и последний совет: выбирайте удобный код, который можно повторять даже машинально. Его намного сложнее забыть, а точнее почти невозможно.


Смотри наши инструкции по настройке девасов в ютуб!

Как взломать пароль на телефоне

Телефоны уже давно перестали использоваться исключительно для звонков. Они превратились в универсальных помощников, поэтому забытый на смартфоне пароль вызывает у владельца настоящую панику. Но прежде чем прощаться с гаджетом, попробуйте взломать забытый пароль

Варианты разблокировки телефона

Способы восстановления доступа к девайсу зависят от операционной системы. Для разблокировки Android используются одни методы, а для iOS – другие. Рассмотрим каждый из них по порядку. 

Взлом пароля на Андроиде

Если вы забыли пароль от аккаунта в Google, тогда восстановить доступ к телефону будет несложно:

  1. Несколько раз наугад введите пароль от аккаунта;
  2. В момент отключения дисплея щелкните на «Забыли графический ключ?»;
  3. В новом окне введите данные от профиля Google;
  4. Поставьте новый защитный код на телефон. 

Данный способ подойдет только тем, у кого аккаунт Гугл привязан к номеру телефона. 

Разблокировка через ПК

Чтобы восстановить доступ к телефону через компьютер, нужно:

  1. Войти в Google Play через персональный компьютер;
  2. Скачать приложение «Screen Lock suppressor»;
  3. Установить следом любую другую утилиту. 

При загрузке нового приложения Screen Lock Bypass станет активным, что приведет к сбросу кода. Очень важно успеть до повторной блокировки экрана ввести новый пароль. 

Сброс до заводских настроек

Этот способ рекомендуется использовать в случаях, если другие методы разблокировки Android не помогают:

  1. Выключите смартфон;
  2. Одновременно зажмите кнопку громкости и «Домой»;
  3. В появившемся меню выберите «Wipe data / factory reset»;
  4. Согласитесь с возможными рисками;
  5. Для перезагрузки телефона кликните на «Reboot System». 

Имейте в виду, что в данном случае сбросится не только пароль, но и все настройки гаджета. Это приведет к удалению предустановленных приложений, личной информации. 

Разблокировка гаджетов iOS

Обладатели Айфонов и Айпадов могут легко восстановить доступ к аппарату apple всего за пару минут. Для этого необходимо:

  1. Подключить телефон к компьютеру;
  2. Щелкнуть на «Recovery Mode»;
  3. Включить iTunes;
  4. Кликнуть на кнопку «Восстановить»;
  5. Произвести настройку аппарата. 

После выполнения всех действий система предложит установить новый код или оставить гаджет незапароленным. 

Программы для взлома пароля

Забытый пароль – проблема, с которой сталкиваются до 35% обладателей современных гаджетов. Поэтому разработчики софта создали немало программ, позволяющих восстановить доступ к телефону:

  • Unlocker;
  • Unlocker 2;
  • Phone CORD PACK;
  • Universal Simlock Remover.

Программы позволяют взломать пароль на многих мобильных устройствах под управлением iOS и Android. 

Разблокировка графического ключа

Если вы забыли графический код от телефона, восстановить его не составит труда. Позвоните на свой аппарат, а после завершения звонка войдите в меню настроек. В разделе «Безопасность» деактивируйте графический ключ. 

Забыл пароль от HTC

Если вы забыли код, то лучше всего обратиться в фирменный центр обслуживания. В качестве альтернативы попробуйте:

  1. Скачать «HTC Sync» для компьютера;
  2. Подключить телефон к ПК;
  3. Установить «Screen Lock Bypass» через «HTC Sync»;
  4. Перезагрузить телефон;
  5. Убрать блокировку экрана. 

Этот способ работает практически со всеми аппаратами фирмы HTC. 

Разблокировка Huawei

Чтобы деактивировать графический ключ на Huawei, следует:

  1. Установить на ПК «HiSuite»;
  2. Подключить аппарат к компьютеру;
  3. Открыть программу «HiSuite»;
  4. Выбрать пункт «Мой e-mail» в разделе «Контакты». 

Дальше просто следуйте инструкции по сбросу графического ключа на телефоне. 

Восстановление доступа к Samsung

Этот способ поможет тем, у кого есть профиль Samsung account. Чтобы восстановить доступ к аппарату, нужно:

  1. Посетить сайт Samsung;
  2. Авторизоваться в системе;
  3. Перейти в «Сервисы» через пункт «Контент»;
  4. Щелкнуть на графу «Найти устройство»;
  5. Отыскать кнопку «Разблокировать экран». 

Как видите, взломать пароль на телефоне можно разными способами. Ну а если ни один из них не поможет, просто смените прошивку на устройстве.

Как взломать пароль на телефоне графический ключ

Xakep #258. NPM Hijacking

  • Содержание выпуска
  • Подписка на «Хакер»

Многочисленные утечки данных не раз доказывали, что самые распространенные пароли (а также самые уязвимые), это всевозможные вариации на тему «password», «[email protected]$$w0rd» и «1234567». Когда в 2008 году в Android появились графические ключи, казалось, они могут изменить ситуацию. Теперь становится ясно, что ситуация с графическими ключами мало отличается от ситуации с обычными паролями. Выпускница Норвежского университета естественных и технических наук Марте Лёге (Marte Loge) провела исследование данной темы, в ходе защиты магистерской диссертации. Свой доклад под названием «Скажи мне кто ты, и я скажу тебе, как выглядит твой графический пароль» Лёге зачитала на конференции PasswordsCon в Лас-Вегасе.

Так как графически ключи еще сравнительно молоды, и собрать большое количество примеров реальных ключей «из жизни» затруднительно, выборка у Лёге получилась небольшая – она проанализировала 4 000 Android lock Patterns (ALP). Тем не менее, полученные на выходе данные оказались небезынтересны.

«Люди предсказуемы. В случае графических паролей, мы наблюдаем тот же подход, которым люди руководствуются при создании PIN-кодов и обычных буквенно-числовых комбинаций», — рассказала Лёге на конференции. ALP может содержать не менее 4 узлов и не более 9, что суммарно дает 389,112 возможных комбинаций. Так же как в случае с обычными паролями, число комбинаций возрастает экспоненциально, вместе с длиной графического ключа.

Длина графического ключаЧисло комбинаций
41,624
57,152
626,016
772,912
8140,704
9140,704

В целом, основные собранные данные таковы:

  • 44% ALP начинаются из верхнего левого узла
  • 77% начинаются в одном из четырех углов экрана
  • 5 – среднее число задействованных в графическом пароле узлов, то есть взломщику придется перебрать менее 8 000 комбинаций
  • Во многих случаях графический пароль состоит за 4 узлов, а это уже менее 1,624 комбинаций
  • Чаще всего ALP вводят слева направо и сверху вниз, что тоже значительно облегчает подбор

Лёге попросила опрошенных создать три разных ALP: для банковского приложения, для приложению для покупок и для разблокировки смартфона.
К сожалению, опрошенные мужчины и женщины, в подавляющем большинстве, создали ключи из 4-5 узлов. Наименее популярны у пользователей, по неясной причине, оказались пароли длиной 8 узлов, и даже пароли из максимальных 9 узлов набрали больше «голосов».
На иллюстрации ниже верхняя колонка – пароли мужчин, нижняя – пароли женщин:

Мужчины в целом придумывают более сложные и длинные пароли, чем женщины. Самые сложные пароли – у молодых мужчин. Иллюстрация ниже демонстрирует разницу в сложности паролей:

Однако количество узлов – не единственный важный фактор для создания надежного графического ключа. Специфическая последовательность соединения узлов также является ключевым моментом для такого пароля. Если присвоить узлам пароля числа, расположив их так же, как они расположены на клавиатуре обычного телефона, получится, что последовательность 1, 2, 3, 6 куда менее безопасна, чем 2, 1, 3, 6, которая меняет направление.
Мужчины и здесь выбирают более надежные комбинации, такие как последовательность 2, 3, 1. Женщины почти никогда не выбирают комбинации с пересечениями. Лёге отмечает, что людям, в целом, сложно запомнить паттерны высокой сложности.

Команда исследователей формализовала систему оценки сложности графических ключей еще в 2014 году, представив документ «Dissecting pattern unlock: The effect of pattern strength meter on pattern selection».
Опираясь на данную систему оценки надежности комбинаций, Лёге получила следующие цифры: самый ненадежный пароль среди опрошенных набрал 6,6 баллов, самый надежный – 46,8 баллов. Средняя надежность пароля составила 13,6 баллов.

Помимо прочего, графические ключи оказались подвержены той же «болезни», что и численно-буквенные пароли, в качестве которых пользователи часто используют обычные слова. Более 10% полученных Лёге паролей оказались обычным буквами, которые пользователи чертили на экране. Хуже того, почти всегда выяснялось, что это не просто буква, но первая буква имени самого опрошенного, его супруга(ги), ребенка и так далее. Если атакующий, пытается взломать смартфон и знает имя жертвы, все становится совсем просто.

«Было очень забавно видеть, что люди используют ту же стратегию запоминания, к которой привыкли, используя численно-буквенные пароли. Тот же самый образ мысли», — рассказала Лёге. Выходит, если атакующим удастся собрать достаточно большое количество графических ключей, они смогут воспользоваться моделью Маркова, что значительно увеличит их шансы на успех. Лёге не стала фокусироваться на данном методе взлома в своем докладе из этических соображений.

В заключение Лёге дала ряд советов, как сделать ALP безопаснее. Во-первых, в графическом ключе стоит использовать большее количество узлов, что сделает пароль более сложным. Во-вторых, стоит добавить пересечений, так как они усложняют атакующим подбор комбинации и помогут запутать злоумышленника, если тот решил подсмотреть пароль через плечо жертвы. В-третьих, стоит отключить опцию «показывать паттерн» в настройках безопасности Android: если линии между точками не будут отображаться на экране, подсмотреть ваш пароль станет еще сложнее.

Эта статья поможет разблокировать смартфон или планшет, если вы забыли пин-код, пароль или рисунок.

Если помните пин-код, пароль или рисунок, но не можете убрать блокировку, читайте статью

Если устройство заблокировалось после сброса данных и запрашивает аккаунт Google, читайте статью

Есть три способа:

Сервис Find My Mobile — удалит графический ключ, пин-код, пароль, отпечаток пальца. Работает через интернет.

Дополнительный пин-код или аккаунт Google — удалит только графический ключ. Подойдет только для Андроид 5.0 и ниже.

Сброс данных — удалит графический ключ, пин-код, пароль, отпечаток пальца и очистит память устройства.

Find My Mobile

Этот способ подойдет, если:

вы добавили аккаунт Samsung на устройство перед блокировкой и помните адрес электронной почты и пароль;

на смартфоне или планшете подключен интернет.

Чтобы разблокировать смартфон или планшет:

В браузере на компьютере откройте страницу сервиса — https://findmymobile.samsung.com/?p=ru .

Введите адрес электронной почты и пароль аккаунта Samsung, который добавлен на заблокированном смартфоне или планшете, и нажмите кнопку «Войти».

Если не помните адрес электронной почты или пароль, нажмите «Узнайте свой идентификатор или пароль» и следуйте подсказкам на экране.

Если не удалось восстановить адрес или пароль, используйте другие способы.

Если слева отображается не тот смартфон или планшет, который заблокирован, нажмите стрелку вниз и выберите нужную модель из списка.

Нажмите «Еще», далее «Разблокировать мое устройство».

Введите пароль аккаунта Samsung и нажмите кнопку «Разблокировать».

Экран смартфона или планшета разблокируется.

Дополнительный пин-код или аккаунт Google — только для смартфонов и планшетов с Андроид 5.0 и ниже

После 5-ти неправильных попыток появится пункт «Дополнительный PIN-код». Нажмите на него и введите код из 4-х цифр, который вы указали, когда придумывали графический ключ.

Если не помните пин-код, нажмите на «Разблокировать в Google» («Забыли графический ключ?») и введите адрес электронной почты и пароль Google. Эта же почта должна быть добавлена на устройстве, которое вы разблокируете.

Если кнопки «Разблокировать в Google» («Забыли графический ключ?») нет, значит на устройстве не добавлен аккаунт Google, используйте другие способы.

Если не помните пароль, восстановите его через специальную форму и введите на устройстве. Если пароль восстановить не удалось, используйте другие способы.

Сброс данных

Если предыдущие способы не помогли, сделайте сброс данных — вы удалите все файлы и настройки с устройства, а вместе с ними графический ключ, пин-код, пароль или отпечаток пальца.

В статье описан способ обхода графического пароля на устройствах под управлением Android, основанный на алгоритме, который анализирует траекторию движения пальца в момент разблокировки устройства. Алгоритм позволяет с вероятностью 95% подобрать графический ключ не более чем за 5 попыток, т. е. прежде чем устройство автоматически заблокируется. Пользователям следует задуматься: стоит ли использовать графический пароль? Ведь безопасность устройства под вопросом.

Введение

Операционная система Android предусматривает использование графического пароля (ключа) для разблокировки устройства, а также для защиты пользовательской информации. Большинство пользователей отдают предпочтение именно этому способу защиты своего устройства, поскольку визуальные образы воспринимаются и запоминаются человеком намного проще, чем цифры и буквы пин-кода или текстового пароля.

Учитывая распространенность данного способа защиты, понятны попытки как злоумышленников, так и правоохранителей найти способы преодоления графической защиты устройств.

Существует ряд возможностей обхода графического пароля. Оставляя в стороне специализированные программно-аппаратные комплексы, использование которых сопряжено с определенными ограничениями, остановимся на тех способах, которые не требуют специального оборудования, зато заставляют проявлять наблюдательность и, вероятно, изобретательность. Например, можно исследовать следы пальцев, оставленные владельцем на экране устройства, но, как правило, это малоэффективно, поскольку обычно приходится иметь дело с многочисленными смазанными или затертыми следами.

В недавнем исследовании рассказывалось, что вычислить графический пароль возможно, анализируя движение пальцев при рисовании узора (ключа), которое снято на видео. Стоит отметить, что видео может быть сделано на расстоянии двух метров от пользователя, например, в общественных местах.

При разработке алгоритма было использовано видео ввода пользователями устройств 120 уникальных графических ключей. Разработанный алгоритм позволяет с вероятностью 95% подобрать графический ключ не более чем за 5 попыток, до автоматической блокировки устройства.

Рассмотрим подробнее механизм воссоздания графического пароля с помощью анализа видео, фиксирующего на расстоянии движение пальца владельца.

Наиболее простая ситуация — прямое наблюдение за пользователем. В этом случае мы наиболее просто получаем искомый ключ. Этот метод не требует комментариев.

Рисунок 1. Метод прямого наблюдения за пользователем

Более актуальной является ситуация, в которой «наблюдатель» находится на расстоянии от владельца и производит съемку под углом к экрану. Здесь мы имеем дело с типичной ситуацией при записи, например, в общественном месте.

Рисунок 2. Запись видео «А» в общественном месте

Рисунок 2.1. Экран устройства, полученный с видео «А»

Рисунок 3. Запись видео «Б» в общественном месте

Рисунок 3.1. Экран устройства, полученный с видео «Б»

Модель угроз

Напомним, что существует несколько условий создания корректного графического ключа:

  • Ключ должен состоять как минимум из 4 точек.
  • Каждая точка может быть использована только один раз.

На рисунке 4 показан пример ключа, состоящий из пяти последовательно связанных точек на сетке 3?3.

Рисунок 4. Пример графического ключа

Для разблокировки устройства необходимо в определенной последовательности воспроизвести построенный узор (ключ), соединяя точки на экране.

Предположим, что некто хочет получить доступ к защищенному графическим паролем устройству.

Сперва необходимо получить видео, на котором пользователь разблокирует свое устройство. Далее видеозапись подвергается обработке, итогом которой становится выделение небольшого набора вероятных графических ключей.

Поскольку многие пользователи часто используют один и тот же пароль для всех своих устройств, получив один пароль, можно попытаться взломать и другие устройства этих пользователей.

Рисунок 5. Последовательность воссоздания графического ключа

На рисунке 5 поэтапно показана собственно атака.

  • На первом кадре зафиксирован момент записи видео разблокирования мобильного устройства владельцем.
  • На втором кадре выделены два сегмента: в одном палец, рисующий узор на экране, в другом — элемент устройства (точка фиксации).

Далее подключается алгоритм отслеживания движения пальца по экрану устройства.

  • На третьем кадре — отрисовка траектории движения пальца с ракурса камеры.
  • На четвертом кадре — моделирование траектории движения пальца с ракурса пользователя.
  • На пятом кадре — набор смоделированных графических паролей (ключей).
  • На шестом кадре — итоговый графический пароль (ключ), предлагаемый к вводу на устройстве.

Механизм отслеживания траектории движения пальца

Следует отметить, что на каждом кадре видеоряда необходимо определять положение двух областей: первой — вокруг пальца, второй — края устройства. Для этого вычисляются относительные координаты центральных точек этих областей. На координатном графике красным отмечены те точки, которые следует использовать для воссоздания графического пароля.

Рисунок 6. Траектория движения пальца

Отслеживание движения пальца осуществляется посредством алгоритма Tracking-Learning-Detection. Алгоритм автоматически обнаруживает указанные объекты и определяет их границы.

Программный код Tracking-Learning-Detection приведен ниже:

По умолчанию алгоритм передает информацию о местоположении объекта относительно верхнего левого угла видеокадра. Однако съемка видео может сопровождаться дрожанием камеры. Поэтому отсчет от угла кадра создаст нестабильность в определении координат элементов изображения, что в итоге может привести к неверной идентификации графического ключа.

Для того чтобы устранить влияние дрожания камеры, следует создать видео объекта с двух разных ракурсов и применить алгоритм Tracking-Learning-Detection.

На рисунке 7 показан эффект подавления дрожания при использовании алгоритма Tracking-Learning-Detection для обработки видеоряда.

Рисунок 7. Устранение влияния дрожания камеры посредством алгоритма Tracking-Learning-Detection

Рисунок 8. Искомый графический ключ

Генерируемая алгоритмом Tracking-Learning-Detection траектория движения пальца искажена по отношению к действительной траектории из-за разных углов положения экрана по отношению к пользователю и камере. Поэтому следующим шагом является ее преобразование в систему координат, связанную с устройством. Для этого нам необходимо рассчитать угол между камерой и устройством.

Существует алгоритм определения границ объектов, именуемый LineSegmentDetector, способный обнаружить протяженный край объекта.

Программный код алгоритма:

Угол съемки — это угол между установленной границей устройства и горизонталью. Это иллюстрирует рисунок 9. Возможная незначительная погрешность оценки угла съемки практически не влияет на результат.

Рисунок 9. Вычисление угла съемки

Используя установленный угол съемки ?, производится преобразование траектории движения пальца по экрану в систему координат устройства:

где Т— матрица преобразования, S’ — координата точки отслеживаемой траектории, и S — координата после преобразования.

Для каждого видеокадра алгоритм индивидуально рассчитывает угол съемки и выполняет соответствующие преобразования.

Получение информации о направлении движения пальца

Чтобы определить, какие точки использовал человек, важно также знать, в каком направлении движется его палец. На рисунке 10 представлены все возможные на сетке 3?3 шестнадцать направлений движения.

Рисунок 10. 16 возможных вариантов направлений на сетке 3х3

Для каждого отрезка линии траектории необходимо рассчитать наклон и направление горизонтального смещения пальца (т. е. слева направо или наоборот). Полученная информация будет сверяться с таблицей оценки возможных направлений линий движения.

Таблица оценки возможных вариантов движения пальца

Наклон линии также определяется по координатам начальной и конечной точки выделенного отрезка. Рисунок 11 демонстрирует номера направлений движения пальца, присвоенные каждому сегменту траектории.

Рисунок 11. Номера направлений отслеживаемой траектории движения

Программный код алгоритма распознавания возможных вариантов ключа:

Собранная информация о траектории движения пальца сопоставляется с возможными вариантами ключей, которые ранжируются с учетом эвристики. Этот процесс описан в выше приведенном алгоритме.

Возможность обхода графического пароля определяется тремя факторами:

  1. Сетка графического пароля должна быть известна.
  2. Качество видео, позволяющее алгоритму отслеживать движение пальца, должно быть хорошим.
  3. Видеофрагмент, захватывающий процесс ввода графического ключа, должен цельным от начала до конца.

Выводы

В данной статье был рассмотрен метод обхода графического пароля. Метод базируется на исследовании видеозаписи разблокирования устройства самим пользователем. Стоит отметить, что видеозапись может быть сделана с помощью камеры мобильного устройства на расстоянии до двух метров. Алгоритм восстанавливает траекторию движения пальца по экрану устройства для определения графического пароля.

Очевидно, что графический пароль не является надежным методом блокировки. Поэтому для обеспечения безопасности графического пароля стоит:

  • Использовать большее количество пересечений, так как они усложняют подбор комбинации и помогут ввести в заблуждение злоумышленника.
  • Отключить опцию «показывать паттерн» в настройках операционной системы Android. После отключения этой опции линии между точками не будут отображаться на экране устройства.
  • Закрывать экран устройства в момент ввода графического пароля — это исключит возможность подсмотреть злоумышленнику ваш пароль.

Стоит отметить, что графический пароль не является единственным способом защиты пользовательских данных в устройствах под управлением Android. Помимо графического пароля, существуют иные механизмы защиты, такие как: Touch ID, создание комбинированного пароля (состоящего из букв, символов и цифр), а также пин-код.

Как взломать телефон Samsung, если на нем установлен графический пароль? Инструкция предназначена не для нечистых на руку граждан, а для тех, кто забыл сочетание знаков или стал жертвой невинной шутки друзей, влезших в настройки смартфона. Способы взлома потребуются и молодым родителям, дети которых случайно поставили графический пароль и, совершенно ожидаемо, не помнят его.

Как можно взломать телефон Android

Выбор способа зависит от того, к каким сервисам был подключен телефон до установления блокировки. Если вы успели синхронизировать смартфон с аккаунтом в гугле – считайте, что дело сделано. Еще лучше, если был подключен самсунговский сервис “Найти телефон”. В остальных ситуациях придется попотеть.

Разблокировка графического ключа

Рассмотрим наиболее простой вариант, как взломать аккаунт Самсунг. Если телефон был подключен к профилю в Гугле, то восстановить возможность доступа к смартфону проще простого. Вбиваем наугад несколько вариантов комбинаций, пока система не остановит вас сообщением, что попытки исчерпаны. Ниже будет стандартная фраза “Забыли графический ключ?”. Тапаем на нее и ожидаем переключения на аккаунт Гугл. Следуем инструкциям и восстанавливаем возможность использования телефона.

Владельцы Андроидов младше 2.2 версии настоящие счастливчики, поскольку в этой операционке есть существенный изъян, который разработчики позже успешно устранили. Итак, чтобы взломать ключ, достаточно просто позвонить себе с другого телефона и примите вызов. Далее сбрасываем соединение и идем в меню, где в разделе “Безопасность” деактивируем действующий код.

На некоторых моделях срабатывает следующий способ: дожидаемся, когда смартфон начнет сигнализировать о разрядке и во время отображения уведомления заходим в меню и убираем запрос графического шифра.

Взлом защитного кода

Защитный код можно взломать, но для этого нужно обладать определенными навыками по работе с телефоном и его прошивке:

  1. С помощью ПК ищем в сети Pattern Password Disable под Android. Файл должен быть в zip-формате.
  2. Переносим файлик на sd-карту и вставляем ее в смартфон.
  3. Инициируем перезагрузку устройства, зажав нужные клавиши.
  4. Ждем.
  5. Снова перезагружаем телефон.

Если метод сработает, перезагруженный смартфон разблокируется стандартным способом – проведением пальцем по экрану. В некоторых случаях поле для введения графического ключа все же отображается, но это не повод для паники – просто вбейте произвольную комбинацию.

Специальный софт для взлома телефона

Последние модели Андроида просто напичканы фишками, повышающими безопасность, поэтому даже после рекавери на них снова появляется проклятый графический код, без которого разблокировать телефон не получится. Но народные умельцы и здесь нашли брешь:

  1. Скачиваем на ПК Samsung Bypass Google Verify и перекидываем его на флешку.
  2. Берем адаптер On-the-Go и посредством его подключаем USB-накопитель к смартфону.
  3. Сброшенный до заводских настроек смартфон сам откроет через файловый менеджер содержимое флеш-накопителя.
  4. Запускам АРК-файл. Не пугаемся сообщения о запрете установки – переходим в настройки, где разрешаем смартфону устанавливать приложения.
  5. Повторяем попытку запуска и установки.
  6. Доступ ко всем настройкам устройства разблокируется.
  7. Отключаем флешку и снова инициируем сброс смартфона до заводских настроек.

Ждем включения телефона и появления стандартного предложения ввести данные учетки в Гугле или зарегистрироваться. Последнее сообщение говорит о том, что устройство успешно взломано.

Есть еще один интересный софт для взлома: через ПК и вэб-интерфейс нужно скачать с Гугл Плей на телефон утилитку Screen Lock suppressor. После этого пробуем скачать любое другое приложение, в процессе установки которого блокировка сбросится сама собой. В этот момент нужно перейти в настройки смартфона и сменить код.

Как разблокировать Самсунг без потери данных

Выше уже были перечислены способы, как снять блокировку без потери данных. Для дальновидных пользователей есть еще один удобный метод. Если вы успели зарегистрироваться на сайте Самсунг и, в частности, в разделе Find My Mobile, вам достаточно зайти на сервис и следовать алгоритму:

  1. После авторизации ищем на странице свой телефон.
  2. На левой панели кликаем “Разблокировать экран”.
  3. Подтверждаем решение и ждем связи смартфона с сервисом.
  4. На экране ПК появится уведомление об успешной разблокировке.

Как видно, для успешной разблокировки лучше заранее озаботиться потенциальной проблемой. Покупая ребенку смартфон, сразу создайте аккаунты в Гугл и на сайте Самсунг, чтобы не мучиться с поиском способов взлома. Дальновидность спасет ваше время и нервы.

Возможные проблемы

Защиту всегда можно обойти, но не всегда для этого есть подходящие методы, позволяющие сохранить все данные. В ряде случаев, если простые способы не действуют, потребуется выполнить полный сброс телефона до заводских настроек. В этом случае вы потеряете все данные, информацию из чатов (если, конечно, не выполняли регулярно резервное копирование).

Еще один риск связан с установкой зараженных приложений и утилит из непроверенных источников. Киберпреступники после разблокировки смартфона с помощью шпионов могут получить доступ к привязанным картам, а это – большой риск. Скачивать средства помощи нужно в проверенных местах и следить за тем, чтобы на продукт было много положительных отзывов, оставленных в разные даты.

В целом, поэтапное применение вышеприведенных способов поможет вам добиться успеха и разблокировать смартфон. Надеемся, что после этого вы станете предусмотрительней, и подготовите “запасные пути” для всех имеющихся в семье телефонов, чтобы ситуация не повторилась. Подключите все мобильные и планшеты на Андроид к Гугл-аккаунту и зарегистрируйте устройства на официальном сайте Самсунга. Эти меры помогут впоследствии избежать ненужной головной боли и сберегут ваше время.

Как разблокировать телефон Huawei, если забыл графический ключ или пароль « БНК

Как разблокировать телефон Huawei? Настраивая пароль или графический ключ, пользователь получает предупреждение: восстановить пин-код не получится, необходимо запомнить его сейчас. Защита смартфона – очень важная функция, позволяющая хранить данные в безопасности. Но что делать, если данные оказываются надежно защищены даже от их владельца? Без паники! В этой статье мы расскажем обо всех способах восстановления доступа.

Как разблокировать через Gmail

Один из самых простых способов разблокировки – разблокировка через учетную запись Gmail. Для восстановления доступа следуйте инструкции:

  1. Вводите любые неправильные пароли 5 раз.
  2. Нажмите на появившуюся кнопку «Забытый пароль/графический ключ».
  3. В новом окне используйте привязанные к телефону данные в виде пароля и имени пользователя, чтобы войти в систему.
  4. Теперь данные пароля или графического ключа можно обновить.

Как разблокировать через Hard Reset

Как разблокировать телефон Huawei, когда забыта информация для входа в учетную запись Gmail? Если пользователь забыл пароль не только от смартфона, но и от учётной записи Google, привязанной к нему – поможет более жесткий вариант. Hard reset уничтожит всю информацию на телефоне, сбросив его до заводских настроек.

Первый метод

Данный метод подойдет для более старых версий Huawei.

  1. Отключите смартфон с помощью удержания кнопку выключения.
  2. Когда смартфон выключится, зажмите клавишу увеличения громкости, параллельно зажимая клавишу включения/отключения. Делать это нужно, пока не появится лого Android.
  3. На экране смартфона появятся надписи на английском языке. С помощью клавиши громкости пролистывайте их до надписи «wipe data». Необходимо подтвердить выбор кнопкой включения.
  4. Откроется окно подтверждения, на котором будет длинный список ответов «no» («нет») и одна надпись «yes» («да»). С помощью кнопки увеличения громкости пролистайте до надписи «yes» и сделайте выбор кнопкой питания.
  5. В новом окне тапните «перезагрузить систему сейчас», используя клавишу питания.
  6. Теперь все настройки сброшены до заводских настроек, информация удалена, а ваш Huawei нужно настроить как новый телефон.

Второй метод

Это способ подойдет тем, кто ищет информацию, как разблокировать телефон Huawei более новых версий. Для полного сброса настроек следуйте инструкции:

  1. Чтобы выключить смартфон, зажмите кнопку включения/отключения.
  2. После отключения устройства зажмите увеличение громкости. Не отпуская ее, зажимайте клавишу питания. Делать это нужно, пока не загорится экран.
  3. Теперь отпустите клавишу отключения устройства, но продолжайте удержание кнопки увеличения громкости.
  4. Вы увидите несколько активных кнопок. Нажмите «wipe data».
  5. В новом окне вы появятся две кнопки: «No» («нет») и «Wipe data». Выберите вторую.
  6. Теперь все настройки сброшены до заводских настроек, данные удалены, а ваш Huawei нужно настроить как новый телефон.

Как разблокировать отпечатком пальца

Если вы подозреваете, что можете когда-нибудь забыть пароль, не будет лишним подстраховаться с помощью отпечатка пальца. В этом случае телефон «узнает» вас и даст доступ к данным. Заранее позаботьтесь об этом, установив отпечатки до того, как потеряете доступ к смартфону.

Этот способ работает для устройств, на которых предустановлен датчик отпечатка пальцев. Узнайте о его наличии в технических характеристиках вашего смартфона. Если ваш Huawei поддерживает такую функцию, следуйте инструкции:

  1. Зайдите в настройки смартфона. Внизу страницы вы увидите пункт «Безопасность и конфиденциальность» – тапните на него.
  2. В открывшемся меню найдите пункт «Отпечаток пальца» и нажмите.
  3. В новом списке выбирайте пункт «Управление отпечатком пальца. (Настройка отпечатка пальца и соответствующих функций)».
  4. Введите пароль или графический ключ, установленный на устройстве.
  5. Для регистрации отпечатка пальца выберите пункт «Новый отпечаток пальца».
  6. Следуйте инструкции на экране телефона – прикладывайте палец к сканеру, немного меняя его положение. Нажмите «OK».
  7. Вы можете добавить на смартфон 5 отпечатков. Для разблокировки дотроньтесь до сканера.

Нюансы и возникающие проблемы

Теперь, когда вы получили подробную инструкцию, как разблокировать телефон Huawei, проясним некоторые детали. Если вы решили для восстановления доступа использовать Hard reset (в переводе «жесткий сброс») – будьте осторожны! Вы можете потерять всю важную информацию на вашем смартфоне – фотографии, видео, контакты. Этот метод подойдет только тем, кто сделал свежую резервную копию всей информации.

Кроме того, первый вариант сработал не для всех пользователей. Второй вариант подходит почти всем, но не меняет пароль, а обходит его.

Источник: https://kakperevesti.online/kak-razblokirovat-telefon-huawei-honor.html

12 основных методов взлома паролей, используемых хакерами

Долгое время пароли считались приемлемой формой защиты цифровой конфиденциальности. Однако по мере того, как биометрия и криптография становились все более доступными для общественности, недостатки этого простого метода аутентификации становились все более заметными. В конце концов, утечка пароля стала центральным элементом крупнейшей истории кибербезопасности за последние 12 месяцев — взлома SolarWinds. Ранее в этом году выяснилось, что «solarwinds123», созданный и просочившийся стажером, был общедоступен через частный репозиторий GitHub с июня 2018 года, что в конечном итоге позволило хакерам организовать массовую атаку на цепочку поставок.Однако даже если бы пароль не просочился, киберпреступникам не составит труда его угадать. В конце концов, по словам американского политика Кэти Портер, большинство родителей используют более надежные пароли, чтобы их дети не «слишком много смотрели YouTube на своем iPad».

Слабые и легко угадываемые пароли более распространены, чем можно было бы ожидать: недавние исследования NCSC показали, что почти каждый шестой человек использует имена своих домашних животных в качестве паролей, что делает этот выбор весьма предсказуемым.Что еще хуже, эти пароли также, как правило, повторно используются на разных сайтах, причем каждый третий человек (32%) устанавливает один и тот же пароль для доступа к нескольким учетным записям.

Вот почему неудивительно, что пароли — худший кошмар для экспертов по кибербезопасности. Однако есть шаги, которые стоит предпринять для решения этой проблемы: хотя биометрия и криптография могут повысить безопасность компании, надежная многоуровневая аутентификация является обязательной. Помимо этого, снижение рисков также означает знание шагов, которые предпринимают киберпреступники, чтобы взломать вашу учетную запись.Как гласит известная пословица: знай своего врага. Вот почему мы собрали 12 основных методов взлома паролей, используемых хакерами, чтобы дать вам и вашему бизнесу лучшее представление о том, на что следует обращать внимание.

12 методов взлома паролей, используемых хакерами:

1. Фишинг

Пожалуй, наиболее часто используемый сегодня хакерский метод, фишинг — это попытка кражи пользовательской информации путем маскировки вредоносного контента под надежное сообщение. Хотя этот термин обычно ассоциируется с электронной почтой, и существуют термины для описания других средств коммуникации, таких как «smishing» (SMS-фишинг), фишинг может возникать при любом типе электронного общения.

Типичная тактика — обманом заставить пользователя щелкнуть встроенную ссылку или загрузить вложение. Вместо того, чтобы быть направленным на полезный ресурс, вредоносный файл загружается и запускается на машине пользователя. Что произойдет дальше, полностью зависит от выполняемой вредоносной программы — некоторые могут шифровать файлы и препятствовать доступу пользователя к машине, в то время как другие могут пытаться оставаться скрытыми, чтобы действовать как бэкдор для других вредоносных программ.

По мере того, как компьютерная грамотность с годами повышалась, а пользователи привыкли к онлайн-угрозам, методы фишинга должны были стать более изощренными.Сегодняшний фишинг обычно включает в себя ту или иную форму социальной инженерии, при которой сообщение будет выглядеть как отправленное от законной, часто хорошо известной компании, информирующее своих клиентов о том, что им необходимо предпринять какие-либо действия. Для этой цели часто используются Netflix, Amazon и Facebook, поскольку весьма вероятно, что у жертвы будет учетная запись, связанная с этими брендами.

Дни электронных писем от предполагаемых принцев Нигерии, ищущих наследника, или фирм, действующих от имени богатых умерших родственников, немногочисленны и далеки от времени, хотя вы все еще можете встретить странные, дико экстравагантные утверждения здесь и там.

Нашим недавним фаворитом является случай с первым нигерийским астронавтом, который, к сожалению, потерян в космосе и нуждается в нас, чтобы действовать как человек посередине для перевода 3 миллионов долларов в Российское космическое агентство, которое, по-видимому, действительно выполняет обратные полеты.

2. Социальная инженерия

Говоря о социальной инженерии, это обычно относится к процессу, заставляющего пользователей поверить в то, что хакер является законным агентом. Распространенной тактикой является то, что хакеры вызывают жертву и изображают из себя службу технической поддержки, запрашивая такие вещи, как пароли доступа к сети, чтобы оказать помощь.Это может быть столь же эффективным, если сделать это лично, используя поддельную униформу и учетные данные, хотя в наши дни это встречается гораздо реже.

Успешные атаки социальной инженерии могут быть невероятно убедительными и очень прибыльными, как это было в случае, когда генеральный директор энергетической компании из Великобритании потерял 201 000 фунтов стерлингов из-за хакеров после того, как они обманули его с помощью инструмента искусственного интеллекта, который имитировал голос его помощника.

3. Вредоносное ПО

Кейлоггеры, скребки экрана и множество других вредоносных инструментов — все это относится к вредоносным программам, предназначенным для кражи личных данных.Наряду с очень разрушительным вредоносным программным обеспечением, таким как программы-вымогатели, которые пытаются заблокировать доступ ко всей системе, существуют также узкоспециализированные семейства вредоносных программ, специально предназначенные для паролей.

Кейлоггеры и им подобные записывают действия пользователя, будь то нажатия клавиш или снимки экрана, которые затем передаются хакеру. Некоторые вредоносные программы даже активно ищут в системе пользователя словари паролей или данные, связанные с веб-браузерами.

4.Атака методом грубой силы

Атака методом грубой силы относится к ряду различных методов взлома, все из которых включают угадывание паролей для доступа к системе.

Простым примером атаки методом перебора может быть хакер, который просто угадывает пароль человека на основе соответствующих ключей, однако они могут быть более изощренными. Например, повторное использование учетных данных основывается на том факте, что многие люди повторно используют свои пароли, некоторые из которых будут обнаружены в результате предыдущих утечек данных.В ходе атак методом обратного перебора хакеры берут некоторые из наиболее часто используемых паролей и пытаются угадать связанные имена пользователей.

В большинстве атак методом перебора используется автоматическая обработка, позволяющая вводить в систему огромное количество паролей.

5. Атака по словарю

Атака по словарю — это немного более сложный пример атаки методом грубой силы.

Используется автоматизированный процесс загрузки списка часто используемых паролей и фраз в компьютерную систему до тех пор, пока что-то не подойдет.Большинство словарей будут составлены из учетных данных, полученных в результате предыдущих взломов, хотя они также будут содержать наиболее распространенные пароли и словосочетания.

Этот метод использует тот факт, что многие люди будут использовать запоминающиеся фразы в качестве паролей, которые обычно представляют собой целые слова, склеенные вместе. Это во многом причина того, почему системы будут настоятельно рекомендовать использовать несколько типов символов при создании пароля.

6. Атака по маске

В тех случаях, когда атаки по словарю используют списки всех возможных словосочетаний и словосочетаний, атаки по маске гораздо более специфичны по своему объему, часто уточняя догадки, основанные на символах или числах — обычно основанные на существующих знаниях.

Например, если хакеру известно, что пароль начинается с числа, он сможет настроить маску, чтобы пробовать только эти типы паролей. Длина пароля, расположение символов, наличие специальных символов или количество повторений одного символа — вот лишь некоторые из критериев, которые можно использовать для настройки маски.

Цель состоит в том, чтобы резко сократить время, необходимое для взлома пароля, и удалить любую ненужную обработку.

7.Атака с радужной таблицей

Связанный ресурс

Отчет о состоянии безопасности электронной почты в 2021 году: рост числа программ-вымогателей

Защита предприятия в мире COVID

Загрузить сейчас

Каждый раз, когда пароль хранится в системе, он обычно зашифровывается с помощью «хеша» или криптографический псевдоним, из-за которого невозможно определить исходный пароль без соответствующего хэша. Чтобы обойти это, хакеры поддерживают и совместно используют каталоги, в которых записаны пароли и соответствующие им хэши, часто созданные на основе предыдущих взломов, что сокращает время, необходимое для взлома системы (используется в атаках методом грубой силы).

Радужные таблицы идут еще дальше, поскольку вместо простого предоставления пароля и его хэша хранят предварительно скомпилированный список всех возможных текстовых версий зашифрованных паролей на основе алгоритма хеширования. Затем хакеры могут сравнить эти списки с любыми зашифрованными паролями, которые они обнаруживают в системе компании.

Большая часть вычислений выполняется до того, как произойдет атака, что значительно упрощает и ускоряет запуск атаки по сравнению с другими методами. Обратной стороной киберпреступников является то, что огромное количество возможных комбинаций означает, что радужные таблицы могут быть огромными, часто размером в сотни гигабайт.

8. Сетевые анализаторы

Сетевые анализаторы — это инструменты, которые позволяют хакерам отслеживать и перехватывать пакеты данных, отправляемые по сети, и поднимать содержащиеся внутри текстовые пароли.

Такая атака требует использования вредоносного ПО или физического доступа к сетевому коммутатору, но она может оказаться очень эффективной. Он не полагается на использование уязвимости системы или ошибки в сети и, как таковой, применим к большинству внутренних сетей. Также распространено использование сетевых анализаторов как часть первой фазы атаки, за которой следуют атаки методом грубой силы.

Конечно, предприятия могут использовать эти же инструменты для сканирования своих собственных сетей, что может быть особенно полезно для выполнения диагностики или устранения неполадок. Используя сетевой анализатор, администраторы могут определять, какая информация передается в виде обычного текста, и применять политики, чтобы этого не происходило.

Единственный способ предотвратить эту атаку — защитить трафик, направив его через VPN или что-то подобное.

9. Spidering

Spidering относится к процессу, когда хакеры узнают свои цели как можно ближе, чтобы получить учетные данные на основе их активности.Этот процесс очень похож на методы, используемые при фишинге и атаках социальной инженерии, но требует гораздо большей работы со стороны хакера, хотя, как правило, в результате он оказывается более успешным.

То, как хакер может использовать спайдеринг, будет зависеть от цели. Например, если целью является крупная компания, хакеры могут попытаться получить внутреннюю документацию, такую ​​как руководства для начинающих, чтобы получить представление о типах платформ и безопасности, которые использует цель.Именно в них вы часто найдете инструкции по доступу к определенным сервисам или заметки об использовании офисного Wi-Fi.

Часто компании используют пароли, которые так или иначе связаны с их деловой деятельностью или брендом — в основном потому, что это облегчает их запоминание сотрудникам. Хакеры могут использовать это, изучая продукты, которые создает бизнес, чтобы составить список возможных словосочетаний, которые можно использовать для поддержки атаки методом грубой силы.

Как и в случае со многими другими методами из этого списка, процесс паутинки обычно поддерживается автоматизацией.

10. Автономный взлом

Важно помнить, что не все взломы происходят через Интернет-соединение. Фактически, большая часть работы выполняется в автономном режиме, особенно потому, что большинство систем устанавливают ограничения на количество предположений, разрешенных перед блокировкой учетной записи.

Автономный взлом обычно включает в себя процесс расшифровки паролей с использованием списка хэшей, вероятно, взятых из недавней утечки данных. Без угрозы обнаружения или ограничений формы пароля хакеры могут не торопиться.

Конечно, это можно сделать только после того, как начальная атака была успешно запущена, будь то хакер, получивший повышенные привилегии и доступ к базе данных, с помощью атаки SQL-инъекции или наткнувшись на незащищенный сервер.

11. Серфинг на плече

Вы можете подумать, что идея о том, что кто-то смотрит через ваше плечо, чтобы увидеть ваш пароль, является продуктом Голливуда, но это реальная угроза даже в 2020 году.

Наглые примеры этого включают хакеров, которые маскируются. чтобы получить доступ к сайтам компании и буквально заглядывать через плечи сотрудников, чтобы получить конфиденциальные документы и пароли.Более мелкие компании, возможно, подвергаются наибольшему риску, учитывая, что они не могут контролировать свои сайты так же эффективно, как более крупная организация.

Эксперты по безопасности недавно предупредили об уязвимости в процессе аутентификации, используемом WhatsApp. Пользователи, пытающиеся использовать WhatsApp на новом устройстве, должны сначала ввести уникальный код, отправленный в текстовом сообщении, который можно использовать для восстановления учетной записи пользователя и истории чата из резервной копии. Было обнаружено, что если хакеру удалось получить номер телефона пользователя, он может загрузить приложение на чистое устройство и выдать запрос на ввод нового кода, который, если они находятся на расстоянии слежки, они могут скопировать его. поступает на собственное устройство пользователя.

12. Угадай

Если ничего не помогает, хакер всегда может попытаться угадать ваш пароль. Хотя существует множество менеджеров паролей, которые создают строки, которые невозможно угадать, многие пользователи по-прежнему полагаются на запоминающиеся фразы. Они часто связаны с хобби, домашними животными или семьей, большая часть которых часто содержится на тех страницах профиля, которые пытается защитить пароль.

Лучший способ избавиться от этой потенциальной возможности для злоумышленников — соблюдать гигиену паролей и использовать менеджеры паролей, многие из которых бесплатны.

Рекомендуемые ресурсы

Необходимые компоненты для вашей следующей платформы электронной коммерции

Пять возможностей, необходимых для победы на завтрашнем цифровом рынке

Загрузить сейчас

Анализ производительности облачных вычислений и хранилищ

Бенчмарк для IONOS Cloud Compute Engine

Загрузить сейчас

IBM FlashSystem 5000 и 5200 для предприятий среднего размера

Управляйте быстрым ростом объема данных в рамках ограниченного ИТ-бюджета

Загрузить сейчас

2021 Отчет об угрозах инсайдера IBM Security X-Force

Лучшие методы обнаружения и рекомендации для внутренних атак

Загрузить сейчас

Как создать надежный, безопасный пароли путем их взлома

Создавайте более надежные и безопасные пароли: нас постоянно приставляют делать это, но немногие из нас действительно прилагают усилия.Между тем, пароли продолжают регулярно кражи, утечки и взломы. Так что на этот раз мы надеемся привлечь ваше внимание, взглянув на него со стороны злоумышленника! Мы покажем вам, как взламывают пароли и даже как это сделать самостоятельно, чтобы вы могли понять, почему так важен надежный пароль.

Как вы уже поняли из нашего краткого обзора взломщика, ваша единственная защита от надежного взломщика паролей — это, как вы уже догадались, длинная сложная строка из 10 или более символов. Все, что короче, не говоря уже о простом, слишком легко взломать.Знайте это, и внезапно использование менеджера паролей выглядит намного проще, чем пытаться создавать пароли самостоятельно. У нас также есть советы, как выбрать очень надежный пароль!

Читайте дальше, чтобы узнать больше о том, как пароли скрываются от взломщиков и как взломщики пытаются их раскрыть.

Примечание: Для этой истории мы попробовали взломать наши собственные пароли. Использование средств взлома для взлома чужого веб-сайта, службы или файла в лучшем случае неэтично, а в худшем — незаконно.Прислушайтесь к нашему совету и даже не думайте об этом.

Как хеширование защищает ваш пароль

Чтобы отпугнуть взломщиков, ответственный веб-сайт не хранит пароль в его первоначальной форме в виде так называемого открытого текста. Вместо этого он будет использовать так называемый алгоритм хеширования (распространенные включают MD5, SHA2 или SHA3, но есть и другие), чтобы взять ваш пароль и превратить его в «хэш», строку, состоящую из, казалось бы, случайных чисел и букв.

Сайт не будет рекламировать используемый алгоритм хеширования, так как это только облегчит жизнь взломщикам.Он может даже взять этот первый хеш-код и снова его или добавить так называемый «соль» — серию дополнительных символов, из-за которых ваш пароль будет еще труднее подобрать.

Создать пример хэша очень просто. Для хеширования MD5 все, что вам нужно сделать, это посетить такой сайт, как MD5hashgenerator.com, и хешировать пример слова. (В целях безопасности мы бы рекомендовали , а не хэширование пароля, который вы действительно планируете использовать.) MD5 — это старый алгоритм, который считается небезопасным по ряду причин, но он все же полезен для демонстрации работы хеширования и взлома паролей.

MD5hashgenerator.com

В данном случае мы хешировали пароль fred . Просто введите слово для хеширования в поле и нажмите Создать .

Таким образом, пароль maverick становится 55f9c405bd87ba23896f34011ffce8da .

В качестве дополнительной меры предосторожности алгоритмы хеширования работают только в одном направлении. По умолчанию вы не можете удалить хешированный пароль. Кроме того, с односторонним хешем веб-сайту или сервису даже не нужно знать ваш пароль.Сайту просто нужно хешировать ваш пароль и сравнить его с хешем, хранящимся в файле. Если они совпадают, значит, вы в деле. Именно так мы начинаем взламывать пароли.

Как еще можно взломать хешированные пароли

Хеширование — важный и фундаментальный шаг в защите вашего пароля, но он не делает ваш пароль непроницаемым. Все, что нужно сделать взломщику паролей, — это воспроизвести процесс: угадать пароль, хэшировать его, а затем сравнить его с хешем пароля, который был утерян. Если взломщик угадает, к сожалению, он узнал ваш пароль.Если они ошибаются, они пытаются снова … снова и снова.

JPMorgan Chase & Co ..

Большой институциональный веб-сайт, подобный этому, обычно защищен мерами, не позволяющими пользователям вводить пароль за паролем при попытке взлома учетных записей пользователей.

Вы просто не можете попытаться войти в Amazon, однако представьте, что вы Билл Гейтс, и угадывайте, угадывайте и угадывайте пароли, пока вам не повезет. То же самое для банка. В грамотно спроектированный веб-сайт будет встроена некоторая форма контроля.Угадайте слишком часто, и сайт, вероятно, пометит учетную запись или ваш IP-адрес как потенциального хакера и либо полностью ограничит, либо заблокирует ваши попытки входа в систему.

Однако после взлома пароля все ставки прекращаются. Возьмем этот пример: в 2019 году в Интернет просочилось 2,19 миллиарда адресов электронной почты / имен пользователей и паролей, что является частью нарушения Коллекций. После того, как эти хешированные пароли были опубликованы, не было никакого способа помешать тем, у кого есть доступ к ним, загрузить их на свой компьютер, а затем попытаться взломать их без какого-либо контроля скорости, применяемого живым веб-сайтом.

В этом сценарии все, что действительно нужно знать взломщику — или угадывать, — это алгоритм, используемый для хеширования паролей, а затем применение огромной вычислительной мощности ПК для выполнения миллиардов предположений в секунду для взлома пароля. Враги вашего хешированного пароля — время, вычислительная мощность и умные догадки. (Вот как узнать, был ли ваш пароль украден.)

Насколько сложно взломать пароль?

Взлом пароля может быть чрезвычайно сложным и очень быстро. Односимвольный пароль уже представляет 26 возможных вариантов — или 52, если вы добавляете заглавные буквы.Добавление цифр 0–9 дает вам 62 возможных варианта, а специальные символы увеличивают общее количество до 96. (Клавиатуры на иностранных языках могут повлиять на это, и на некоторых сайтах может потребоваться только подмножество доступных специальных символов.) На основе списка 96 символов, даже четырехсимвольный пароль, такой как t7G ( теоретически потребует до 84934656 (96 в четвертой степени) отдельных предположений.

Значит ли это, что четырехзначный пароль безопасен? Абсолютно не .

Рисунок ниже, составленный в 2018 году профессиональной компанией по взлому паролей Terahash, показывает, насколько невероятно простым — и насколько невероятно сложным — может быть взлом паролей.На диаграмме слева перечислены основные алгоритмы хеширования. Соседний цвет показывает, насколько быстро хешированный пароль в каждом алгоритме может быть взломан технологией взлома паролей Terahash. Самый верхний алгоритм, NTLM, оказался в целом самым быстрым для взлома, как и многие другие алгоритмы, закодированные темно-красным цветом; в то время как алгоритм Биткойн / Лайткойн в нижней части занимает больше всего времени и имеет желто-зеленый код.

Terahash / Twitter

На этой диаграмме показано, как простое добавление еще нескольких символов к паролю может сделать время, необходимое для его взлома, почти невероятно длинным, даже с мощным кластером графического процессора Terahash в вашем распоряжении.

Но алгоритм — это только часть проблемы. Другой — длина исходного пароля. Цветовая кодировка других столбцов показывает легкость, с которой хешированный пароль в каждом алгоритме может быть взломан на основе его исходной длины. Это море бирюзово-синего цвета представляет собой более короткие пароли из четырех-восьми символов, которые можно взломать «мгновенно» или в течение часа, в зависимости от используемого алгоритма хеширования. Темно-зеленые области представляют собой пароли, на взлом которых может потребоваться до дня, а ярко-зеленые — до недели и т. Д.Градации оранжевого и красного цвета обозначают пароли, на взлом которых уходит год или больше.

Из этой таблицы можно сделать два важных вывода. Во-первых, Terahash легко взломал короткие пароли из четырех-шести символов независимо от алгоритма. Во-вторых, устойчивость случайного пароля к взлому была значительно увеличена, просто сделав его длиной не менее 10 символов.

Взлом паролей происходит так же, как и майнинг криптовалюты: процессоры несколько эффективны, графические процессоры намного эффективнее, и только хорошо финансируемые исследователи или государства пытались разработать специальные ASIC для взлома паролей.Технология Terahash использует кластер мощных графических процессоров, поэтому его технология будет намного мощнее, чем то, что может использовать ваш компьютер. Тем не менее, все, что вам действительно нужно для взлома паролей, — это компьютер с выделенным графическим процессором. Мы использовали Microsoft Surface Book 3 с графическим процессором GeForce GTX 1660 Ti в качестве испытательного стенда, достигнув максимума в 6 959 мегахешей — почти 7 миллиардов хешей — в секунду. Настольные ПК могут обрабатывать даже больше.

Как взламывать пароли с помощью Hashcat

Для взлома паролей доступно множество программных инструментов, но мы сосредоточимся только на одном.Hashcat атакует хеши паролей с помощью комбинации грубой силы, правил, масок и атак по словарю, которые мы объясним позже.

Первоначально Hashcat требовал специализированных дистрибутивов Linux, таких как Kali Linux, которые были разработаны для тестирования на проникновение. Вы можете загрузить Kali Linux через приложение Microsoft Store и поместить его в подсистему Windows для оболочки Linux. (Просто убедитесь, что это подсистема Windows для Linux 2, которая позволяет вашему графическому процессору выполнять вычисления.) Однако есть более простой способ: hashcat имеет двоичный файл Windows, что означает, что вы можете загрузить его для Windows.Он работает с использованием интерфейса командной строки Windows, используя либо Nvidia CUDA API, либо более общий драйвер OpenCL.

Hashcat состоит из трех основных компонентов: самой программы и двух текстовых файлов, которые вам нужно создать. Один файл содержит хэши, которые нужно взломать, а другой — хранилище взломанных хэшей. В данном случае я назвал их «hash.txt» и «cracked.txt». Я создал простой хеш пароля, который легко угадать, скопировал хеш пароля в файл hash.txt, сохранил его и закрыл текстовый редактор.Затем я открыл приложение командной строки Windows с правами администратора для запуска Hashcat, перейдя в каталог, в котором хранится Hashcat.

Мы собираемся начать с использования Hashcat для взлома паролей методом «грубой силы» — угадывания бесконечных серий возможных паролей в надежде найти правильный. Вы можете прочитать документацию, если хотите, в разделе часто задаваемых вопросов Hashcat, но для начала введите это в приложение командной строки:

hashcat -m0 -a3 -o cracked.txt hash.txt

Короткий и простой пароль, такой как fred , можно взломать за считанные секунды, и это действительно так.

Марк Хахман / IDG

Командное окно hashcat, наложенное на файл Блокнота с взломанным хешем и открытым текстом «пароль». Hashcat отображает скорость хеширования (Speed. # 1), которая в данном случае довольно низкая, около миллиарда хешей в секунду. Он также включает тепловую защиту графического процессора по умолчанию и будет контролировать температуру вашего графического процессора (Hardware.Пн. №1), чтобы не допустить его перегрева.

Чтобы еще раз проверить хешированный пароль, вы можете открыть файл, в котором хранятся взломанные пароли. Вы увидите хеш, за которым следует взломанный пароль в виде открытого текста.

Я быстро обработал простые четырехсимвольные хешированные пароли, такие как 4289 , yniu , tg5f и Trxc . Обратите внимание, что хотя последние комбинации добавляли немного сложности, все они были взломаны за четыре секунды или меньше.Но потом я попробовал jRtw , и произошло кое-что очень интересное: при настройках по умолчанию Hashcat не смог взломать мой хеш за секунды. Или минут. Или больше часа.

Почему? Думаю, я сломал маску. И это хорошо.

Атаки по правилам, маскам и словарям

Взломщики паролей не хуже нас знают, что более длинные и сложные пароли труднее взломать. Но они также знают, что люди обманывают, используя слова и шаблоны для создания паролей, а не длинные и случайные строки.Это означает, что взломщики паролей тоже могут обмануть, используя тактики, известные как «правила» и «маски», в сочетании с «словарями» общих паролей. Например, приведенная ниже таблица SplashData самых небезопасных паролей за 2018 и 2019 годы должна быть частью словарной атаки любого уважаемого взломщика. Это также указывает на опасность повторного использования паролей, потому что, как только взломщик обнаружит это, он попробует его на других ваших учетных записях, на всякий случай, если вы поленились.

SplashData / IDG

Неважно, какой у вас пароль: Oliver , compass или iloveyou : если он появляется в словаре взломщика, значит, ваш пароль скоро будет взломан.Это те пароли, которые взломщики пробуют в первую очередь.

Атака по словарю может использовать отдельные слова или цепочки слов в сочетании со списком общих имен плюс наиболее распространенные пароли. В 2009 году, например, был взломан поставщик приложений RockYou, и база данных незашифрованных паролей, которая, как сообщается, насчитывала 30 миллионов, была просочена в Интернет. Эта база данных представляет собой одну из наиболее распространенных атак по словарю, доступных сегодня.

Маска — это отдельный подход, использующий шаблоны для упрощения процесса.Когда-нибудь начинали свой пароль с заглавной буквы и заканчивали знаком препинания? Как насчет окончания пароля двумя цифрами? Это оба примера масок, и они могут быть запрограммированы в взломщик паролей, чтобы уменьшить количество потенциальных хэшей.

Правило — более сложное выражение, часто сочетающее маску и атаку по словарю. Если ваш пароль состоит из общего слова с двумя цифрами или сочетает в себе имя вашей тети с числом и восклицательным знаком в конце, правило может помочь взломать этот пароль намного быстрее, чем попытки случайных догадок.Это одно из преимуществ использования диспетчера паролей — он не только генерирует длинный пароль, но и этот пароль будет гораздо более случайным, чем тот, который вы обычно генерируете.

Однако помните — и это важно! — взломщик не знает, состоит ли ваш пароль из четырех или четырнадцати символов. В примере с неожиданно сложным четырехсимвольным паролем, который я сгенерировал, по-видимому, произошло то, что атака по маске Hashcat по умолчанию показала, что наиболее эффективно просто пропустить все, что не было предварительно запрограммировано в его файлах масок, и перейти от попытки взломать четыре -символьные пароли к пятизначным паролям.

Означает ли это, что jRtw — пароль, который невозможно взломать? Конечно, нет! В этом случае другой взломщик мог бы просто написать правило, предписывающее Hashcat проверять каждый четырехзначный пароль, прежде чем двигаться дальше. Однако означает, что означает, что хорошо разработанный пароль может избежать обнаружения.

Чему вы должны научиться из этого

Как минимум, вы должны извлечь из всего этого три урока:

Примерное время взлома пароля

Считаете, что ваш пароль достаточно безопасен?

Вы можете подумать еще раз.В 2014 году хакеры раскрыли личную информацию почти половины американцев — и это даже не считая многих компаний, которые испытали взломы.

А поскольку все больше и больше компаний хранят свою информацию в облаке и используют решения SaaS, такие как бизнес-аналитика и программные платформы для персонала, обеспечение безопасности вашей информации становится еще более важным.

Выбор непонятного и сложного пароля и его частая замена может означать разницу между сохранением ваших данных в безопасности и кражей вашей личной информации.Мы собрали информацию и советы, которые помогут вам повысить безопасность в Интернете и не допустить хакеров к вашему личному бизнесу.

Для начала мы решили выяснить, насколько быстро опытный взломщик может «перебрать» различные типы паролей (систематически проверять комбинации, пока не найдет правильный) на основе таких факторов, как длина и типы символов. Мы также создали интерактивную функцию, которая позволяет вам оценить, сколько времени потребуется для взлома пароля сейчас по сравнению с тем, сколько времени это занимало в прошлом.Если вы придумали потенциальный пароль, наш тестировщик скажет вам, насколько он безопасен. Сколько дней, недель или лет безопасности дает дополнительная буква или символ? Как со временем меняется надежность пароля? Ответы могут вас удивить.

Насколько надежен типичный пароль сейчас — и насколько он надежен в 1980-х годах? Введите слово (не ваш текущий пароль) и перетащите ползунок, чтобы выбрать год, чтобы узнать, сколько времени потребуется, чтобы кто-то взломал термин, если бы это был ваш пароль.Это может занять от бесконечности до тысячелетия или долей миллисекунды.

Вы можете включить или выключить функцию «список слов» при проверке паролей. Этот инструмент работает, циклически просматривая список слов, содержащий общие слова и пароли, а затем оценивая другие факторы, такие как типы символов. Если вы введете пароль, которого нет в списке слов, время взлома не изменится. Но если ваш пароль находится в списке слов, это сильно влияет на время взлома.

Примечание: Интерактивный инструмент предназначен только для образовательных целей. Хотя он не собирает и не хранит ваши пароли, вам следует избегать использования текущего пароля.

Как долго должен быть ваш пароль?

Когда дело доходит до паролей, одно можно сказать наверняка: размер имеет значение. Добавление одного символа к паролю экспоненциально повышает его безопасность. В так называемой «атаке по словарю» взломщик паролей будет использовать список общих паролей, чтобы определить правильный.Приведенный выше список показывает разницу, которую может иметь добавление символов, когда дело касается безопасности.

Например, если у вас есть чрезвычайно простой и распространенный пароль из семи символов («abcdefg»), профессионал может взломать его за доли миллисекунды. Добавьте еще один символ («abcdefgh»), и это время увеличится до пяти часов. Для взлома девятисимвольных паролей требуется пять дней, для 10-символьных слов — четыре месяца, а для 11-символьных паролей — 10 лет.Сделайте это до 12 символов, и вы рассчитываете на 200-летнюю безопасность — неплохо для одной маленькой буквы.

буквенных и цифровых символов

Комбинация цифр и букв вместо использования одного типа символов значительно повышает безопасность пароля. Строка из девяти букв или цифр расщепляется за миллисекунды. Добавьте одну букву, и ваш пароль может стать достаточно загадочным, чтобы помешать взломщикам паролей в течение почти четырех десятилетий.

Однако это не так просто, как заменить букву «е» на «3» или добавить цифру в конец строки букв. Методы парольной атаки фактически используют эти общие привычки. Лучше всего просто сделать свой пароль менее предсказуемым и более сложным.

asci, строчные и числовые символы

Сочетание нескольких типов символов — чрезвычайно эффективный способ сделать ваш пароль более загадочным.Простое, распространенное слово можно взломать за доли миллисекунды. Используйте сочетание строчных и прописных букв, цифр и символов (например, @,% и #), и ваш пароль будет надежным более десяти лет.

Надежность пароля с течением времени

Не каждая проблема безопасности сводится к типу и длине символов пароля — время также является важным фактором. С годами пароли резко ослабевают по мере развития технологий и повышения квалификации хакеров.Например, пароль, на взлом которого в 2000 году потребовалось более трех лет, к 2004 году потребуется чуть больше года. Через пять лет, в 2009 году, время взлома снизится до четырех месяцев. К 2016 году тот же пароль можно будет расшифровать чуть более чем за два месяца. Это демонстрирует важность частой смены паролей.

что если вас взломают?

Однажды утром вы открываете свою электронную почту, и все идет наперекосяк: друзья болтают с вами, чтобы сказать, что они получили спам с вашего адреса.Ваша история входа в систему выглядит странно. У вас куча возвращенных сообщений в вашем почтовом ящике и куча странных сообщений в вашем ящике отправленных. Вас взломали — что делать?

Во-первых, восстановите свою учетную запись электронной почты и измените пароль (воспользуйтесь нашими рекомендациями, чтобы сформулировать надежный). Выполните все шаги, например измените контрольные вопросы и настройте уведомления на телефоне. Поскольку электронная почта заполнена личной информацией, вам также следует уведомить свой банк, PayPal, интернет-магазины и любые другие учетные записи, чтобы определить, произошло ли нарушение.Обязательно смените и другие пароли. Наконец, сообщите своим контактам, если электронные письма, отправленные из вашей учетной записи, также скомпрометировали их информацию. Хотя в лучшем случае не взломать вообще, быстрое принятие этих мер может помочь в плохой ситуации.

Защити себя


С течением времени вероятность взлома вашего пароля только возрастает, что подвергает риску вашу самую личную информацию.Сделав несколько шагов для улучшения своего пароля, вы можете экспоненциально минимизировать риск взлома. Когда дело доходит до паролей, размер важнее всего, поэтому выбирайте пароль длиной не менее 16 символов. И не забудьте выбрать сочетание типов символов (цифры, прописные и строчные буквы и символы), чтобы еще больше повысить его безопасность.

Что еще ты умеешь? Избегайте слов, найденных в словаре, местоимений, имен пользователей и других предопределенных терминов, а также часто используемых паролей — двумя главными в 2015 году были «123456» и «пароль» (да, вы все правильно прочитали).Кроме того, никогда не используйте один и тот же пароль в разных местах (забытая учетная запись на сайте, которым вы никогда не пользуетесь, может привести к взлому банковского счета). Подумайте об использовании генератора паролей, чтобы получить сложный пароль без различимого шаблона, чтобы помешать взломщикам паролей. Наконец, если запоминание длинных строк символов оказывается слишком утомительным, подумайте о том, чтобы использовать диспетчер паролей, который хранит все ваши пароли. Нет идеального пароля, но эти шаги могут иметь большое значение для безопасности и спокойствия.

Методология

Используя данные процессора, собранные с помощью тестов Intel и John the Ripper, мы рассчитали количество ключей в секунду (количество попыток ввода паролей в секунду при атаке методом грубой силы) типичных персональных компьютеров с 1982 года по сегодняшний день.

Результаты нашей интерактивной функции могут отличаться от результатов других онлайн-инструментов для проверки паролей из-за таких факторов, как различные уравнения, процессоры и списки слов.(Длина пароля)

Тип пароля — это количество возможных символов.

Число эффективных ядер:

1 / ((1-Константа эффективности) + (Константа эффективности / Количество ядер процессора)) Константа эффективности, которую мы использовали, составляет 0,99, и мы предполагаем, что 99% операций процессора могут быть посвящены взлому пароля.

Процессор, GFLOPS:

Частота процессора * Число эффективных ядер

ключей в секунду:

GFLOPS / Константа шифрования (собрана и рассчитана на основе тестов John the Ripper).

Время в секундах:

Секунды = Комбинации / KeysPerSecond

Источники

Добросовестное использование

Не стесняйтесь свободно делиться изображениями и интерактивными материалами, найденными на этой странице. При этом укажите авторов, предоставив обратную ссылку на эту страницу и на Better Buys, чтобы ваши читатели могли узнать больше об этом проекте и связанных с ним исследованиях.

Прочтите эту таблицу, чтобы узнать, как быстро кто-то может взломать все ваши учетные записи

Если ваш логин 000000, возможно, пришло время для сброса.

Один пользователь Reddit поделился подробной диаграммой с цветовой кодировкой, чтобы проиллюстрировать, сколько времени может потребоваться хакеру, чтобы вычислить ваш пароль. В таблице указано, сколько символов и какой тип символов содержится в пароле, а также сколько времени потребуется, чтобы кто-то его вычислил.

Если ваш пароль состоит всего из четырех или пяти символов (независимо от того, являются ли они просто числами или комбинацией цифр, букв и символов), очень высока вероятность того, что он будет мгновенно взломан, как отмечается в таблице Hive Systems. Однако, если ваш пароль состоит только из цифр и до 18 символов, хакеру может потребоваться до девяти месяцев, чтобы взломать код.

И наоборот, если у вас сложный пароль (11-значный пароль с цифрами, прописными и строчными буквами), хакеру может потребоваться 41 год, чтобы его разгадать.Чем длиннее и сложнее ваш пароль, тем больше времени потребуется хакеру для его взлома.

Силуэт компьютерного хакера. Фон зеленый двоичный код. Билл Хинтон / Гетти

Эта диаграмма вызвала дебаты среди пользователей Reddit по поводу безопасности их паролей согласно диаграмме. «Чем вы старше, тем менее безопасным он должен быть. Я умру, прежде чем они выяснят мой 14-буквенный пароль, состоящий из строчных букв», — написал один пользователь. «Это предполагает, что система допускает неограниченное количество неудачных попыток без задержки или блокировки», — заявил другой.

Один пользователь был признателен за напоминание диаграммы, что нужно время от времени менять свой пароль. «Мне нравится видеть такие графики, это хорошее напоминание о необходимости обновить мой пароль. 30 смешанных символов, на всякий случай», — написали они.

«Пароль, который, возможно, потребовал миллионы лет для грубой силы с использованием компьютеров 1990 года, может быть довольно быстро взломан с использованием компьютеров 2020 года», — отметил один из Redditor, учитывая постоянно растущую мощность компьютеров.

«Эти числа, вероятно, учитывают только чистое время взлома, без учета реальных ограничений, таких как тот факт, что обычно при получении доступа к системе при каждой попытке возникают HTML-запросы, что требует времени», кто-то другой добавлено, учитывая другие факторы взлома, которые могут иметь значение.«Большинство провайдеров входа в систему для пользователей любого типа имеют некоторую защиту от подобных атак методом грубой силы».

Другие пошутили по поводу данных диаграммы, когда выяснили, сколько времени потребуется хакерам, чтобы их вычислить. «Не может хакер просидеть за компьютером 43 миллиарда лет и проникнуть в мою учетную запись Reddit».

«Ого, это безумие! Мы должны поделиться паролями и посмотреть, кто из них наиболее безопасен», — написал один наглый пользователь.

Как взломать пароль, как хакер

Я собираюсь ответить на один вопрос, который мне все время задают: как «взломать» пароль?

Чтобы ответить на этот вопрос, я собираюсь рассказать вам о шагах, которые хакер может использовать для взлома вашего пароля, чтобы вы могли избежать некоторых ловушек, которые сделают вас легкой мишенью для любого взломщика паролей.

Что такое хеш?

Во-первых, давайте поговорим о том, как хранятся пароли. Если веб-сайт или программа хранит ваш пароль — например, Google, Facebook или где-либо еще, где у вас есть учетная запись в Интернете, — пароль обычно хранится в виде хэша. Хэш — это, по сути, безопасный способ хранения паролей, основанный на математике.

Хеш — это также способ шифрования пароля, поэтому, если вы знаете этот трюк, вы можете легко его расшифровать. Это было бы похоже на то, как спрятать ключ от дома во дворе дома: если бы вы знали, где находится ключ, вам потребовалось бы всего несколько секунд, чтобы найти его.Однако, если вы не знаете, где находится ключ, вам, вероятно, потребуется много времени, чтобы найти его.

Два типа хакерских атак

Теперь давайте разделим атаки на пароли на два разных типа: онлайн и офлайн.

Автономные атаки — это когда хакер может взять хэш пароля, скопировать его и забрать домой для работы. Онлайн-атаки требуют, чтобы злоумышленник попытался войти в вашу онлайн-учетную запись, чтобы перейти на конкретный веб-сайт, на который они нацелены.

Онлайн-атаки на защищенные веб-сайты очень сложны для хакера, потому что эти типы сайтов ограничивают количество попыток взломщика пароля.Вероятно, это случилось с вами, если вы забыли свой пароль и были заблокированы из своей учетной записи. Эта система на самом деле предназначена для защиты вас от хакеров, которые пытаются вычислить ваш пароль с помощью миллиардов попыток.

Интернет-атака будет похожа на попытку найти чей-то спрятанный ключ во дворе его дома, пока он находится дома. Если бы вы посмотрели в нескольких местах, это, вероятно, не выглядело бы слишком странным; однако, если вы проведете весь день перед домом, вас заметят и попросят немедленно уйти!

В случае онлайн-атаки хакер, скорее всего, проведет большое исследование конкретной цели, чтобы узнать, могут ли они найти какую-либо идентифицирующую информацию о ней, такую ​​как имена детей, дни рождения, близких, старые адреса и т. Д. .Оттуда злоумышленник может попробовать несколько целевых паролей, которые будут иметь более высокий уровень успеха, чем просто случайные угадывания.

Офлайн-атаки гораздо опаснее и не обеспечивают такой защиты. Автономные атаки происходят при перехвате зашифрованного файла, такого как PDF или документ, или при передаче хешированного ключа (как в случае с Wi-Fi). Если вы копируете зашифрованный файл или хешированный пароль, злоумышленник может воспользоваться этим. ключ к дому с ними и попробуйте взломать его на досуге.

Хотя это может показаться ужасным, это не так плохо, как вы думаете. Хэши паролей почти всегда являются «односторонними функциями». На английском это просто означает, что вы можете выполнить серию попыток взлома пароля, отменить которую практически невозможно. Это делает поиск пароля чертовски трудным.

По сути, хакер должен быть очень терпеливым и пробовать тысячи, миллионы, миллиарды, а иногда даже триллионы паролей, прежде чем найдет правильный. Есть несколько способов сделать это хакерами, чтобы увеличить вероятность того, что они смогут найти ваш пароль.К ним относятся:

  1. Атаки по словарю

  2. Атаки по маске / набору символов

  3. Bruteforce

Давайте поговорим подробнее о каждом из них.

Атаки по словарю

Атаки по словарю — это то, на что они похожи: вы используете словарь, чтобы найти пароль. У хакеров в основном есть очень большие текстовые файлы, содержащие миллионы общих паролей, таких как password, iloveyou, 12345, admin или 123546789.(Если бы я только что сказал ваш пароль, измените его сейчас !!!)

Хакеры будут пробовать каждый из этих паролей, что может показаться трудоемким, но это не так. Хакеры используют действительно быстрые компьютеры (а иногда даже видеокарты для видеоигр), чтобы перепробовать миллионы паролей. Например, во время соревнований в DEFCON на прошлой неделе я использовал свою видеокарту, чтобы взломать автономный пароль со скоростью 500 000 паролей в секунду!

Атаки по маске / набору символов

Если хакер не может угадать ваш пароль из словаря известных паролей, его следующим вариантом будет использование некоторых общих правил, чтобы попробовать множество комбинаций указанных символов.Это означает, что вместо того, чтобы пробовать список паролей, хакер должен указать список символов, которые нужно попробовать.

Например, если бы я знал, что ваш пароль состоит только из цифр, я бы сказал своей программе пробовать только комбинации цифр в качестве паролей. Отсюда программа будет пробовать каждую комбинацию цифр, пока не взломает пароль. Хакеры могут указать массу других параметров, таких как минимальная и максимальная длина, сколько раз повторять определенный символ в строке и многое другое. Это уменьшает объем работы, которую необходимо выполнить программе.

Итак, допустим, у меня есть пароль из 8 символов, состоящий только из цифр. Используя мою видеокарту, взломать этот пароль потребуется около 200 секунд — чуть более 3 минут. Однако, если пароль содержит строчные буквы и цифры, то для расшифровки того же пароля из 8 символов потребуется около 2 дней.

Bruteforce

Если злоумышленнику не повезло с этими двумя методами, он может также «подобрать» ваш пароль. Брутфорс пробует каждую комбинацию символов, пока не получит пароль.Как правило, этот тип атаки непрактичен — ведь на то, чтобы разобраться в чем-либо, превышающем 10 символов, потребуются миллионы лет!

Как видите, в теории взломать пароль не так сложно, как вы думаете — вы просто пытаетесь ввести триллионы паролей, пока не получите правильный! Однако важно помнить, что найти одну иголку в стоге сена иногда практически невозможно.

Лучше всего иметь длинный пароль, уникальный для вас и для любой службы, которую вы используете.Я настоятельно рекомендую посмотреть мои эпизоды о хранении паролей и создании надежных паролей для получения дополнительной информации.

Взлом и / — взлом паролей с помощью графических процессоров, часть I: установка

Майнинг биткойнов такой же в прошлом году. Используйте свой дорогой графический процессор взлом паролей.

Когда увлечение майнингом биткойнов достигло пика, я почувствовал желание присоединиться к этому новому сообщество и заработать легкие деньги. Меня привлекали не только деньги; в концепции, лежащие в основе майнинга биткойнов, заинтриговали меня, в частности, новое использование графические процессоры (GPU).С умеренно дорогой видеокартой вы может принести достаточно денег, чтобы окупить ваши первоначальные вложения и счет за электроэнергию в относительно короткие сроки.

Затем Биткойн рухнул. Это нормально, потому что я еще не успел построил свою установку для майнинга, и, более того, я нашел еще больше интересное использование оборудования для майнинга биткойнов: взлом паролей. Биткойн добыча полезных ископаемых и взлом паролей — очень похожие операции, и графический процессор может взламывать пароли намного быстрее, чем процессор или даже небольшой кластер процессоров.В В этой статье, состоящей из двух частей, я объясню, как настроить и использовать компьютер для взлома паролей. В этой первой части я сосредоточусь на принципах за взломом паролей и общей настройкой оборудования. Я расскажу конкретные атаки и примеры из командной строки в следующей статье.

Законные причины для взлома паролей

Прежде чем я начну, давайте признаем, что есть несколько довольно сомнительных причин взламывать пароли. Время от времени вы будете слышать историю о веб-сайте, который был взломан, база данных паролей была взломана, а тысячи обнаруженные слабые пароли.Часто люди попадают в пароль взломать, потому что они пытаются проникнуть в чужую систему, или они уже взломали чью-то систему, украли хеши паролей и взламывают пароли, чтобы атаковать еще одну систему.

Тем не менее, как и в случае с взломом замка, есть законные причины для взлома. пароли, особенно для системного администратора или веб-мастера:

  • Проверьте надежность пароля локальных пользователей.

  • Докажите, что пользователи следуют вашей политике паролей.

  • Поймите, какой должна быть ваша политика паролей.

  • Криптография — это интересно.

  • Майнинг биткойнов больше не является прибыльным.

Фактически, многие системы Linux будут запускать базовую атаку по словарю, когда вы измените свой пароль, чтобы оценить, насколько он слаб. Хотя правда, что эти дней большинство систем паролей не позволяют пользователям вводить пароли, которые не соответствуют политике паролей, некоторые системы просто сообщают пользователям их пароли ненадежны, но все равно хранят их.В любом случае это имеет смысл для проверки ваших паролей в компании, чтобы убедиться, что случайный хакер с видеокартой за 300 долларов не может взломать пароли за день или два. Когда ты поставьте себя на роль взломщика паролей, вы начнете понимать какие пароли легко взломать, а какие практически невозможно, и это поможет вам сообщить, когда пришло время обновить политику паролей.

Введение в хэши паролей

Хэши паролей были созданы для решения особенно сложной проблемы.Если пользователи должны вводить пароли для входа в систему, вы должны хранить эти пароли в система как-то. Как вы храните эти пароли, чтобы они не были обычным текстом? но когда пользователи вводят свои пароли, вы можете сказать, что они верны? Решение состоит в том, чтобы зашифровать пароли односторонним хешем. Идея за односторонним хешем заключается в том, что для ввода относительно легко получить зашифрованы в хеш, но почти невозможно преобразовать хеш обратно в исходный ввод. Если вы когда-нибудь загружали Linux.iso и запустил md5sum на нем, чтобы убедиться, что он соответствует оригиналу, вы использовали очень популярный односторонний алгоритм хеширования, MD5. Другие популярные односторонние хэши включают Семейство SHA (SHA1, SHA256 и SHA512), а phpass — это современный стандарт по умолчанию для Сайты на основе PHP, такие как WordPress.

Когда вы входите в систему Linux, вводимый вами пароль преобразуется. в хеш с тем же алгоритмом, который изначально использовался, когда вы впервые устанавливали свой пароль. Система сравнивает этот новый хэш с хешем, который он хранит. система, и если они совпадают, предполагается, что вы ввели правильный пароль и вы вошли в систему.Так, например, на современном сайте PHP, если ваш пароль был 123456, он может быть сохранен как $ P $ BPlIiO5xdHmThnjjSyJ1jBICfPkpay1.

Как работает взлом паролей

На самом базовом уровне взлом пароля работает так же, как обычный вход в систему. Вы угадываете пароль, прогоняете его через алгоритм хеширования и сравниваете это к существующему хешу. Если он совпадает, вы взломали пароль. Главный разница между взломом и обычным входом в систему в том, что вы делаете сотни тысяч, если не миллионы этих сравнений в секунду.

/ etc / passwd и / etc / shadow

Самое важное, что вам нужно, прежде чем взломать пароль, — это пароль хеш. Поскольку мы говорим об совершенно законном использовании взлом пароля, это просто. Ведь у вас должен быть root-доступ в ваших собственных системах или базах данных, и должно быть легко получить хеши паролей. В случае входа в систему Linux эти хэши паролей используются для храниться в / etc / passwd. Это кажется логичным местом для хранения пароли в системе Linux.Проблема в том, что в этом файле также хранится имена пользователей и идентификаторы пользователей, используемые в системе, и поэтому файл должен быть доступным для чтения. Когда пароли хранились в этом файле, любой локальный пользователь может вытащить полный список хэшей паролей и запустить растрескивание. В наши дни Linux хранит хэши паролей в / etc / shadow, где они доступны для чтения только root. В случае паролей веб-сайтов хэши обычно хранятся либо где-то в самой файловой системе, либо часто в специальной пользовательской таблице в базе данных.

Второе важное, что вам нужно — это знать, какой алгоритм хеширования использовался для этих хэшей. Без этого вы не узнаете, какой тип алгоритм хеширования для вашей атаки. В случае хэшей входа в систему Тип хэша хранится в самом хэше пароля. Если вы посмотрите на пароль хеш в / etc / shadow, вы заметите журнал странных символов вместе с добавлено несколько $. Эти символы $ ограничивают разные разделы хэша. следующее:

 
$ id $ salt $ зашифровано
  

Раздел id сообщает вам, какой хеш используется:

  • 1 = MD5

  • 5 = SHA-256

  • 6 = SHA-512

В наши дни вы, скорее всего, столкнетесь с паролями SHA-256 и SHA-512.Поскольку алгоритм хеширования и соль хранятся вместе с сам пароль, хэши паролей Linux довольно переносимы. Если у тебя есть хэш, вы можете скопировать его в другую систему и использовать тот же пароль для входа в систему.

Зачем использовать графический процессор?

Простая причина использовать GPU вместо CPU для взлома паролей: что это намного быстрее. Оказывается, взлом паролей очень похож на майнинг биткойнов, поэтому графические процессоры быстрее для майнинга биткойнов применяются для взлома паролей.Короткий ответ: есть еще много специализированные чипы на графическом процессоре, которые очень быстро выполняют 32-битные операции. Хотя ЦП может выполнять множество вычислений общего назначения, микросхемы на графический процессор может выполнять определенные типы операций намного быстрее и в гораздо большей более параллельным способом. Если вам нужна более подробная информация, этот сайт объясняет более подробно деталь с точки зрения майнинга биткойнов: https://en.bitcoin.it/wiki/Why_a_GPU_mines_faster_than_a_CPU.

Аппаратное обеспечение

Самое важное оборудование, которое вам нужно для взлома паролей, — это быстрое GPU.Поскольку взлом паролей похож на майнинг биткойнов, вы можете получить хороший представление о том, как ваш графический процессор будет работать, насколько хорошо он будет майнить биткойны.

Этот сайт предоставляет хороший список доступных видеокарт и описывает их производительность: https://en.bitcoin.it/wiki/Mining_hardware_comparison. Когда вы посмотрите на этот сайт, вы заметите, что графические процессоры AMD, как правило, быстрее, чем графические процессоры NVIDIA, хотя для игр часто бывает наоборот. Причина этого подробно объясняется в объяснении того, почему графический процессор добывает быстрее, чем ЦП, но короче говоря, графические процессоры AMD решают проблему отображение графики с помощью множества небольших простых микросхем, выполняющих 32-битную операции быстро.Графические процессоры NVIDIA имеют меньше, но более сложные чипы которые по сложности ближе к ЦП. Для майнинга биткойнов или взлом паролей, который может быть очень параллельным, если большее количество простые фишки работают быстрее всех. Также обратите внимание, что программное обеспечение для взлома может принимать преимущество нескольких графических процессоров, поэтому, если вы можете себе это позволить, и ваша материнская плата может поддерживать это, вы можете обнаружить, что получите ту же производительность из двух более дешевые графические процессоры, чем один дорогой.

В моем случае у меня не было настольного ПК, который я мог бы использовать для этого, поэтому я построил специальный рабочий стол только для взлома паролей.Если вы хотите Чтобы пойти по моим стопам, вот мое точное оборудование вместе с ценами:

  • Графический процессор: SAPPHIRE FleX 100312FLEX Radeon HD 6950 2 ГБ: 280 долларов США

  • Блок питания: RAIDMAX HYBRID 2 RX-730SS 730W: 60 долларов США

  • Материнская плата: ASUS M4A88T-V: 95 долларов

  • Процессор: AMD Phenom II X6 1090T Black Edition Thuban 3,2 ГГц: 170 долларов

  • Оперативная память: Corsair CMX4GX3M2B2000C9 4 Гб 240-контактный DDR3: 55 долларов

  • Накопитель: гибридный диск Seagate ST95005620AS 500 ГБ, 7200 об / мин: 100 долларов

  • Дело: уже в собственности

  • Итого: 760 долларов, 930 долларов с монитором, 340 долларов только GPU + PS.

Если у вас уже есть настольный компьютер, поддерживающий современную видеокарту, вы можете необходимо приобрести только GPU и блок питания.Имейте в виду, что современные для высокопроизводительных видеокарт требуется много энергии, поэтому вам понадобится по крайней мере, блок питания на 700 Вт в вашем случае, и более того, если вы собираетесь соедините две видеокарты вместе. Я обнаружил, что у AMD 6950 хороший производительность для моего бюджета, плюс эта конкретная модель теоретически может быть превратился в 6970 с обновлением прошивки. Если у вас большой бюджет тем не менее, вы можете купить два или более 6950 и соединить их вместе.

Вот и все. Теперь у вас есть месяц на то, чтобы собрать оборудование, а затем я расскажу о программной стороне взлома паролей, объясню по словарю, переборам и маскам, а также приведите конкретные примеры с моя система взлома паролей.

Ресурсы

Почему графический процессор работает быстрее, чем процессор: https://en.bitcoin.it/wiki/Why_a_GPU_mines_faster_than_a_CPU

Сравнение оборудования для майнинга: https://en.bitcoin.it/wiki/Mining_hardware_comparison

Изображение пароля через Shutterstock.com.

Расчетное время для взлома пароля — LARG * net

Мы уже писали о серьезных взломах паролей, таких как «сборники №1» в прошлом.

Недавний блог Брайана Креба, в котором подробно рассказывается о том, как Facebook хранил сотни миллионов паролей в виде обычного текста, начиная как минимум с 2012 года, стоит прочитать.Facebook также написал собственный блог на эту тему. Пароли, как они хранятся и как их взламывают, сейчас является горячей темой.

Реальность такова, что в большинстве случаев, если компания взламывает, их база паролей не является простым текстом, поэтому хакеры получают пароли, которые выглядят примерно так:

johnsmith: b49596b38f07a752202f433b44aaef33

Хэши создаются с использованием математического уравнения и действуют в качестве дополнительного уровня безопасности на случай взлома системы.Они помогают предотвратить немедленное раскрытие вашего пароля. Хэш — это то, что нужно взломать хакерам, чтобы получить ваш реальный пароль в системах, которые не хранят их в виде обычного текста, как это сделал Facebook.

Насколько легко взломать пароли?

1234567

7 цифр. Это будет мгновенно взломано вашим мобильным телефоном. Пароли, состоящие только из цифр, очень легко взломать.

1234567890

10 цифр.Для взлома компьютера потребуется около 2 минут, а на выделенной видеокарте это займет около 5 секунд. Несколько лишних цифр немного затрудняют взлом, чем предыдущий пароль, но одной длины недостаточно.

qwertyui

8 цифр, все буквы в нижнем регистре. Компьютер взломает это примерно за 30 минут, а графическая карта — за 3 минуты. Буквы сложнее взломать, чем числа, потому что в алфавите более 10 букв, но общее время взлома по-прежнему очень мало.

1qwertu

8 цифр, сочетание строчных букв и цифр. Для взлома компьютера потребуется около 8 часов, а для видеокарты — около 45 минут.

1Qwertu

8 цифр, сочетание цифр, прописных и строчных букв. Компьютер взломает этот пароль за 25, видеокарта — за 2 дня, а суперкомпьютер — за 2 секунды.

Типичные рекомендации по паролям для онлайн-банкинга, например:

  • Новый пароль должен состоять из 6–12 символов

  • Используйте комбинацию букв и цифр

  • Не используйте специальные символы, такие как # @! * &

Они даже не позволяют использовать символы.Это лучшее, что ты можешь сделать.

1Qwert @

8 цифр, прописные и строчные буквы, цифры и символы. Это требование пароля по умолчанию для учетных записей Microsoft Active Directory.

Компьютеру нужно 2 года, чтобы взломать этот пароль, видеокарте — 1 месяц, а суперкомпьютер проглотит его примерно за 1 минуту. Или, если вы думаете об этом с точки зрения стоимости взлома: суперкомпьютер стоит примерно 0,25 доллара за минуту использования.

Напрашивается вопрос — как часто вы меняете пароль? Даже если каждые 3 месяца пароль с этими ограничениями все равно очень уязвим.Не говоря уже о том, насколько легко запомнить этот пароль с символами?

porchcanalnoon

14 цифр, строчные буквы. Это всего лишь 3 случайных слова, так что их будет легко разбить, верно? На самом деле компьютеру потребуется 249 000 лет, чтобы взломать этот, казалось бы, простой пароль. Он падает до 25 000 лет для видеокарты и 7 дней для суперкомпьютера. Однако стоимость этого суперкомпьютерного времени будет в районе 100 000 долларов.

Chesspowertipshoot

18 цифр, строчные буквы.

Даже не стоит записывать время, которое потребуется компьютеру или видеокарте, чтобы сломать эту, потому что для суперкомпьютера потребуется 114 000 лет. Нам придется подождать, пока квантовые компьютеры или какая-нибудь технология будущего взломают этот пароль при жизни любого человека.

Подберите пароль, используя случайные слова!

Выбор случайных слов чрезвычайно затрудняет взлом компьютера, но также делает его очень легким для запоминания.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *