Опубликована база данных, включающая 320 млн уникальных хешей паролей В 

Привет! Это будет вспомогательная статья к моему основному циклу по безопасности беспроводных сетей. Посвящу я ее подборке баз паролей Wi-Fi. Только самое полезное, без лишней воды.

Вы можете не согласиться с моим мнением по многим моментам – комментарии всегда открыты для обсуждения. Одобряется помощь друг другу.

Данная статья подготовлена исключительно в целях повышения навыков личной информационной безопасности. Проект WiFiGid категорически против применения информации на чужих сетях без получения предварительного согласия их владельцами. Давайте жить дружно и не вредить другим людям!

Содержание

Пласт теории на введение

Сами базы будут ниже. Здесь я не смог удержаться и попробую обозначить существующие проблемы в методах брута Wi-Fi.  Какие в этом направлении существуют подходы:

  1. Классический брутфорс на лету – т.е. пытаетесь подключаться к точкам доступа и тут же проверять пароли. Метод канул в небытие, не используйте этот анахронизм!
  2. Перехват хэндшейка и его брут в том же Aircrack – Hashcat – самая рабочая методика, позволяющая задействовать все мощности своего компьютера. Надеюсь, что вы пришли именно для этого сюда.
  3. Брут WPS – тоже имеет место быть, но второй способ используют чаще.

Подробнее про все актуальные методы взлома Wi-Fi я писал ЗДЕСЬ – искренне рекомендую к ознакомлению.

Какая мысль нам важна по второму пункту задачи:

Пароли бывают разной длины. Не используйте базы, не обдумав их предназначения.

Вот некоторые из моих мыслей:

  • Начиная с WPA, не существует паролей меньше 8 символов. Т.е. все, что ниже, не имеет смысла к использованию. Разумеется, если вам не повезло найти WEP сеть.
  • В своих паролях люди очень часто используют числа – номера телефонов и даты.
  • Можно найти популярные слитые пароли, например, с емэйлов – домашние пароли к точкам доступа тоже будут совпадать. То есть, есть смысл прогонять по популярным спискам паролей (разумеется, длиннее 8 символов).
  • И если уже ничего не помогает – можно использовать полный перебор. Есть уже и готовые базы, но сам предпочитаю использовать генератор Crunch – задаете любые НУЖНЫЕ ИМЕННО ВАМ условия, и получаете готовую базу.

При использовании головы, вероятность успешного подбора пароля увеличивается по экспоненте.

Топ 10 паролей в мире в разные годы
Топ 10 паролей в мире в разные годы

Актуальные базы

С теорией разобрались, самое время дать готовые базы. Если у вас есть что-то свое – кидайте в комментарии с пояснениями. Комменты на модерации, пройдет не все, хлам здесь не нужен.

Что доступно и юзабельно, самые популярные словари паролей в России и СНГ (формат dic и txt – все текстовые файлы):

  • ТОП пароли Wi-Fi для WPA, WPA2, WPA3
  • ТОП 9 миллионов
  • Список паролей E-mail
  • Даты и дни рождения
  • Телефоны – РоссияУкраинаБелоруссия
  • 8-значные цифры
  • 9-значные цифры

Альтернативы

Здесь оставлю несколько альтернативных вариантов для подбора паролей. А вдруг пригодится читателю:

  • Можно использовать программы для генерации – Crunch и John the Riper – позволяет создать базы под свои конкретные идеи. Но как правило перебор по сплошным генеренкам даже на суперсовременном железе – это очень долго.
  • Существуют онлайн-сервисы (не даю, ибо есть и злодеи), которые уже расшифровали многие хэндшейки или возьмутся за их расшифровку – ясно дело за отдельную плату, но иногда оно того стоит.

Словари Kali

Эти словари для взлома уже присутствуют у любого пользователя Kali Linux. Так что смело используем и ничего не скачиваем. Ниже дам список с небольшими пояснениями. Но то, что было выше, вполне достаточно для нормально работы с переменным успехом.

  • RockYou (/usr/share/wordlists/rockyou) – самый популярный словарь для пентеста под любое дело. Можно применять и для Wi-Fi, только рекомендую предварительно провести очистку от неподходящих паролей через тот же pw-inspector.

Вот и все. Если есть, что предложить – кидайте в комментариях ниже. Посмотрим, разберёмся, только без хлама.

в Баяны2 года назад

Исследователь опубликовал доступную для поиска базу данных, содержащую 319 935 446 уникальных хешей паролей.

Публикую для того, чтобы Вы проверили на взлом свои пароли или логины (никнейм, E-mail)

1501927922167974308.png

Трой Хант опубликовал доступную для поиска базу данных, включающую порядка 320 млн уникальных хешей паролей, собранных в результате различных утечек данных.

Информация была раздобыта из различных источников. К примеру, база Exploit.in содержит 805 499 391 адрес электронной почты с паролями. После проведения анализа на совпадения оказалось, что в базе всего лишь 593 427 119 уникальных адресов и только 197 602 390 уникальных паролей, то есть 75% паролей использовались более одного раза. Вторым источником стала БД Anti Public, содержащая 562 077 488 строк с 457 962 538 уникальными адресами электронной почты и 96 684 629 уникальных паролей, которых не было в базе Exploit.in.

Хант не раскрыл остальные источники.

Блог Троя Ханта с описанием: https://www.troyhunt.com/introducing-306-million-freely-down… (есть возможность интеграции базы для проверки наличия хеша).

Систематизированная проверка, созданная исследователем по кибербезопасности Троем Хантом:

Проверка E-mail или ника на взлом здесь.

Вводим мыло или никнейм и проверяем. Покажет из какого источника получена информация. Мне показал даже ресурс на котором увели пару логин/пароль.

Проверка на наличие хеша пароля в базе здесь.

Вводим пароль и смотрим есть ли его хеш SHA-1 в базе.

База хешей 5.3GB, примерно 306 млн штук от 3 августа 2017.

База хешей 250MB, примерно 14 млн штук от 4 августа 2017.

База хэшей 7.6MB, примерно 400 тыс. штук от 5 августа 2017.

Проверяем, изучаем, радуемся (огорчаемся)…

UPD: Для тех, кто носит шапочки их фольги и клеит пластырь на вебку:

1.Качаем архив;

2.Распаковываем;

3.Шифруем свой пароль алгоритмом SHA-1;

4.Открываем txt из архива;

5.В нем нажимаем Ctrl+f;

6.В поиск вводим хеш, полученный после шифрования;

7.Жмем Enter.

<theq>The Questionиюль 2016.20251<theq><theq>Технологии<theq>Интернет<theq>Бизнес<theq>Лайфхак<theq>Как Это Работает?<theq>Банки<theq>Тинькофф Банк</theq></theq></theq></theq></theq></theq></theq></theq><theq>Ответить<theq>Ответить<theq>1Комментировать<theq> Подписаться2</theq></theq></theq></theq></theq>8 ответов<theq><theq>Тинькофф Банк3 года назадофициальный аккаунтПользователю можно задать вопрос<qml>

Хороший пароль состоит из заглавных и строчных букв, цифр и знаков препинания. Например:

xJ462&b-vr01.8^5h

hs#lzkAc~6oifL0xwT

{|%SJbB7AN~T

Еще хорошие пароли сочиняют коты, когда ходят по клавиатуре:

s7777,.LW/g000—5255

GBz.vURHDG>923ub4grz.34

#$:*(Tg;9729htgbz1114

Если просто несколько раз бросить руки на клавиатуру, получится надежный пароль:

p$[ghPHg5g79

4ghu;DSsl@vnQwi4

vd.Kjbk.j4uies$

Такие пароли невозможно подобрать с помощью словаря, а на перебор уйдут месяцы и годы — за это время вы успеете сменить пароль, ящик и гражданство.

У каждого человека собственная техника запоминания пароля. Если у вас нет, попробуйте такую:

Возьмите простую фразу, которую вы точно запомните. Например, «картошка с грибами». Напишите ее: kartoshka s gribami

Представьте, что произносите эту фразу с акцентом. Как бы вы ее тогда написали? Например, с итальянским акцентом: kartOshka s gribammi

Замените пробелы на какой-нибудь знак: тире, точку, запятую или похуже что-нибудь: kartOshka.s.gribammi

Замените какие-нибудь буквы на цифры — но так, чтобы запомнить, что вы меняли. Например, a на @, i на 1: k@rtOshka.s.gr1bamm1

Лучше всего пароль запоминается тогда, когда вы его часто вводите. Если вы только сочинили пароль, отключите в почте или соцсетях галочку «запомнить меня», и вам придется вводить его каждый день. Так ваши руки научатся вводить его автоматически. Через неделю можно снова включать «Запомнить меня».

Есть еще альтернативный метод создания сильных паролей.

</qml>Тинькофф Банкотвечает на ваши вопросы в своейПрямой линии<theq>14-2</theq></theq></theq><theq><theq>Николай Кузнецов3 года назад.<qml>

Вы легко можете иметь несколько десятков сложных паролей, которые никогда не забудете. Для этого можно использовать свою любимую песню или стихотворение и выбирать первые, вторые, третьи,  …  буквы в каждом слове. Они будут образовывать новые пароли, а началом и концом будет номер и спецсимвол.

«В лесу родилась елочка, в лесу она росла. Зимой и летом стройная, зелёная была»

*1влрёворзилсзб1*

%2веолвеноииетеы2%

#3всдовсасмитрлл3#

Необязательно использовать именно этот алгоритм для создания пароля, вы можете придумать свой собственный более удобный  для вас.

</qml><theq>2</theq></theq></theq><theq><theq>Алёна Киреева3 года назадБывшая управляющая из сети ресторанов быстрого питания. Нынешний web-разработчик в небольшом городе.<theq>1</theq></theq></theq><theq><theq>David Akunts3 года назадГитарист, уличный музыкант, бульбазавр маркетинга, билингвПользователю можно задать вопрос<qml>

Везде, где можно, включил двухфакторную авторизацию и не парюсь насчет сложности пароля. 

Да, вы можете сказать, что и в этом случае я не защищен на 100% от взлома, а я отвечу, что и мегасложный пароль не дает гарантий безопасности.

</qml>David Akuntsотвечает на ваши вопросы в своейПрямой линии<theq>1</theq></theq></theq><theq><theq>Ilya Glotov3 года назадИсследователь информационной безопасности<qml>

Вообще, большинство специалистов в этой области рекомендуют отказаться от придумывания паролей и перейти на использование специальных менеджеров, которые генерируют при регистрации на каждом сайте различные длинные последовательности из всевозможных символов. 

При этом больше не придется запоминать множество паролей от всего что нужно, вам понадобится всего лишь один мастер-пароль и какой-либо инструмент двухфакторной аутентификации — например, телефон. Такой подход позволит минимизировать ущерб от случайной передачи пароля мошенникам различными путями или взлома одного из используемых вами сервисов — ведь пароль на каждом сайте разный. 

Самыми известными менеджерами паролей можно назвать KeePass и LastPass.

Если же нет желания их использовать, постарайтесь заменить в своей практике «пароль» как сущность на парольную фразу.

Парольная фраза в идеале максимально разнообразна: строчные и заглавные буквы, цифры, специальные символы. Если сервис, в котором происходит регистрация, позволяет, то используйте разные языковые алфавиты. Парольная фраза, к примеру, на русском языке, сразу отсеивает некоторые вектора атак мошенников.

Старайтесь использовать, где это возможно, двухфакторную аутентификацию, чтобы сами по себе учетные данные ничего злоумышленнику не давали.

</qml></theq></theq><theq>Читать ещё 3 ответа</theq><theq>Ответить</theq>Рейтинг вопросов за день<theq>1Люди старше 25 лет, кем вы работаете, как долго, как вы получили нынешнее место в компании или организации, насколько легко устроиться на вашу должность и какие советы вы бы дали новичкам?<theq>2Как стать арт-дилером?<theq>3Какую биологическую роль выполняет зуд? Как наличие зуда помогало особям выживать, если зуд приводил к расчесыванию и воспалению?<theq>4В какую сумму обойдется игровой ПК средней производительности?<theq>5Как найти мотивацию что-либо делать? После чреды серьезных разочарований, вообще нет энергии?</theq></theq></theq></theq></theq>© 2019 TheQuestionПравилаПомощьРекламаИспользуемые источники:

  • https://wifigid.ru/vzlom/bazy-parolej-wi-fi
  • https://pikabu.ru/story/opublikovana_baza_dannyikh_vklyuchayushchaya_320_mln_unikalnyikh_kheshey_paroley_5243188
  • https://thequestion.ru/questions/136259/answer-anchor/answer/189160

Ссылка на основную публикацию