Wörterbuch Attacks 101

Der Hacker, der GMZ durch den Griff geht, sagte Threat Level am Dienstag, er gewinnt Eintrag zu Twitter Verwaltungs Bedienfeld mit dem Hinweis ein automatisiertes Passwort-guesser in einem beliebten Benutzerkonto. Der Benutzer hat sich als Mitglied von Twitters Support-Mitarbeiter zu sein, die das schwache Passwort gewählt hatte „Glück“.

„Ich glaube, es ist ein weiterer Fall von Administratoren nicht Mühe Aufbietung zu einem der offensichtlichsten und überstrapazieren Sicherheitslücken“, schrieb er in einem Chat-Interview. „Ich bin sicher, sie finden es schwierig, es zuzugeben.“

Wenn Sie einen Moderator oder Administrator sind, ist es besonders nachlässig eine solche leicht zu erraten Passwort. Aber das eigentliche Problem hier ist die Art und Weise unbegrenzt Twitter erlaubt, als schnelle-as-Anmeldeversuche möglich.

Auf der Grundlage dieser Daten haben die durchschnittlichen MySpace Benutzer einen 8 alphanumerischen Zeichen des Passworts. Welche ist nicht groß, aber klingt nicht allzu schlecht. Das heißt, bis Sie feststellen, dass 28 Prozent dieser alphanumerics alle Klein mit einem einzigen Endziffer waren - und zwei Drittel der Zeit, die letzte Ziffer war 1!

Ja, Brute-Force-Angriffe sind immer noch für Dummies. Selbst der Regel schreckliche MySpace Passwort - acht Zeichen in Kleinbuchstaben, in 1 enden, würden rund 8 Milliarden Anmeldeversuche erfordern:

Bei einem Versuch pro Sekunde, das wäre mehr als 250 Jahre dauern. Pro Benutzer!

Aber ein Wörterbuch-Angriff. wie das in dem Twitter benutzt hacken? Nun, das ist eine andere Geschichte. Das gesamte Oxford English Dictionary enthält rund 171.000 Wörter. Wie Sie sich vorstellen können, verwendet die durchschnittliche Person nur einen winzigen Bruchteil jener Worte, die von einigen irgendwo Schätzungen zwischen 10 und 40 Tausend. Bei einem Versuch pro Sekunde, können wir jedes Wort im Oxford English Dictionary versuchen leicht in weniger als zwei Tagen.

Klar, das letzte, was Sie tun möchten, ist es Angreifern Blankovollmacht laufen unbegrenzte Anmeldeversuche geben. Es braucht nur ein Benutzer mit einem schwachen Passwort Angreifern ein toehold in Ihrem System zur Verfügung zu stellen. In Twitter Fall trafen die Angreifer wirklich den Jackpot: der Benutzer mit dem schwächsten Passwort ein Mitglied des Twitter Verwaltungspersonal sein passiert ist.

1. fehlgeschlagenen Login

In Verbindung stehende Artikel

• E-Mail-Wörterbuch Attacks - Server Support - Management by rackAID

• Was sind die Unterschiede zwischen dem Wörterbuchangriff und Brute-Force-Angriff Information Security

• Was ist Wörterbuchangriff Definition von