forum.opennet.ru

Составление сообщения

Исходное сообщение

"Результаты исследования методов захвата учётных записей"
Отправлено Ordu, 10-Ноя-17 21:16

Двадцать лет назад SQL-дампы баз разных сайтов продавали на вес, а иногда просто так раздавали. Некоторые лентяи даже не дампами распространяли, а ссылкой на сайт и описанием уязвимости. Ну точнее не 20: что творилось в интернете 20 лет назад я не знаю, не застал, а вот 15 лет назад совершенно точно дампы баз разных сервисов были чем-то заурядным.
Сейчас это меньше распространено, потому что сегодня чаще вместо паролей хранят хеши, а иногда даже с солью.
> Например, отсутствует bruteforce, весьма популярный 20 лет назад
Брутфорс никогда не мог быть массовым способом атаки. Слишком это долго. Для таргетированной атаки он ещё может иметь смысл, но если хочется набрать несколько сот аккаунтов, то перебирать все комбинации символов тупо. А если хеша нет на руках, то ещё и палево -- попробуй не заметить в логах сервера 60^8 записей о неудаче аутентификации... Лучше уж взять словарь на десяток тысяч наиболее распространённых паролей и по нему прогнать угнанные хеши.

Исходное сообщение
"Результаты исследования методов захвата учётных записей" Отправлено Ordu, 10-Ноя-17 21:16
Двадцать лет назад SQL-дампы баз разных сайтов продавали на вес, а иногда просто так раздавали. Некоторые лентяи даже не дампами распространяли, а ссылкой на сайт и описанием уязвимости. Ну точнее не 20: что творилось в интернете 20 лет назад я не знаю, не застал, а вот 15 лет назад совершенно точно дампы баз разных сервисов были чем-то заурядным. Сейчас это меньше распространено, потому что сегодня чаще вместо паролей хранят хеши, а иногда даже с солью. > Например, отсутствует bruteforce, весьма популярный 20 лет назад Брутфорс никогда не мог быть массовым способом атаки. Слишком это долго. Для таргетированной атаки он ещё может иметь смысл, но если хочется набрать несколько сот аккаунтов, то перебирать все комбинации символов тупо. А если хеша нет на руках, то ещё и палево -- попробуй не заметить в логах сервера 60^8 записей о неудаче аутентификации... Лучше уж взять словарь на десяток тысяч наиболее распространённых паролей и по нему прогнать угнанные хеши.

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру