Опубликован альтернативный метод сбора словарей для брутфорса

Специалист по безопасности Джошуа Дастин (Joshua Dustin) опробовал новый способ пополнения словарей, которые используются при брутфорсе. Метод довольно оригинальный, потому что при составлении словаря используется поиск по twitter.com. Идея Дастина заключается в том, что Twitter даёт более актуальные, свежие термины, которые прекрасно дополняют обычную словарную базу.

Сама технология довольно проста: сначала для жертвы составляется список «посевных» слов, которые имеют тематическую связь с жертвой. Далее осуществляется поиск по twitter с использованием посевных слов. Результаты поиска являются базой для пополнения словаря. Идея весьма свежая — она напоминает похожую идею с составлением словаря для брутфорса путём парсинга Википедии.

Джошуа Дастин приводит пример с базой хешей паролей, полученных с тематического сайта militarysingles.com. Получив 4400 уникальных слов из twitter, каждое из них хешировалось функцией MD5 и сравнивалось с хешами, полученными с сайта — для этого использовалась John the Ripper. В итоге, на маленьком словаре из twitter удалось подобрать 1976 уникальных хешей, то есть 1976 из 4400 слов реально использовались в качестве паролей.

Сложно сказать, насколько эффективен данный способ на практике, но факт в том, что при использовании такого же по размеру словаря из самых популярных слов английского языка удаётся подобрать меньше паролей. Так что этот метод действительно можно назвать эффективным. Он должен быть особенно действенным при подборе паролей от специализированных сайтов, ведь поиском по твиттеру мы получаем такой же список «самых популярных слов», но с тематическим уклоном.

Оригинальное сообщение Джошуа Дастина