Андрей Смирнов
Время чтения: ~23 мин.
Просмотров: 6

Broforce скачать торрент

THC Hydra

THC Hydra is known for its ability to crack passwords of network authentications by performing brute-force attacks. It performs dictionary attacks against more than 30 protocols including telnet, ftp, http, https, smb and more. It is available for various platforms including Linux, Windows/Cygwin, Solaris 11, FreeBSD 8.1, OpenBSD, OSX and QNX/Blackberry

Download THC Hydra from this link: https://sectools.org/tool/hydra/

These are a few popular brute-forcing tools for password cracking. There are various other tools are also available which perform brute-force on different kinds of authentication. If I just give example of few small tools, you will see most of the PDF cracking, ZIP cracking tools use the same brute-force method to perform attacks and cracks passwords. There are many such tools available for free or paid.

Ethical Hacking Boot Camp — Exam Pass Guarantee

Conclusion

Brute-forcing is the best password cracking methods. The success of the attack depends on various factors. However, factors that affect most are password length and combination of characters, letters and special characters. This is why when we talk about strong passwords; we usually suggest users to have long passwords with combination of lower-case letters, capital letters, numbers, and special characters. It does not make brute-force impossible but it makes brute-force difficult. Therefore, it will take a longer time to reach to the password by brute-forcing. Almost all hash cracking algorithms use the brute-force to hit and try. This attack is best when you have offline access to data. In that case, it makes it easy to crack, and takes less time.

Brute-force password cracking is also very important in computer security. It is used to check the weak passwords used in the system, network or application.

The best way to prevent brute-force attack is to limit invalid login. In this way, attack can only hit and try passwords only for limited times. This is why web-based services start showing captchas if you hit the wrong passwords three times or they will block your IP address.

There is a long list of password cracking tools which use brute-force or dictionary attack. I tried to list only a few of the best and most popular tools. If you think I missed some important tools, please let me know that in comments below. I will add those tools in the list to make this list better. I hope you enjoyed this article.

Proxy Scanner

На страницах рубрики уже неоднократно описывались различные сканеры проксей, отличительной особенностью которых было то, что они сканили известные паблик-ресурсы с халявными списками прокси-серверов.

Представляю твоему вниманию принципиально иную прогу – Proxy Scanner от некоего Sharky.

Данная утилита основана на принципе скана заданного диапазона IP-адресов, проверяемого на наличие проксиков. Из дополнительных плюсов сканера можно отметить то, что он поддерживает многопоточность, а также сам чекает найденные проксики на валидность с помощью гугла.

Запуск Proxy Scanner’а происходит следующим образом:

1. Запускаем скрипт proxyscanner.pl;

2. Вводим нужные для скана данные:

  • Start IP (начальный IP диапазона, например, 192.168.1.1);
  • End IP (конечный IP диапазона, например, 192.168.255.255);
  • Port (какой порт сканить, например, 3128);
  • Timeout (таймаут прокси в секундах, например, 10);
  • Threads (потоки, например, 50);
  • File for good proxies (в какой файл сохранять гуды, например, proxies.txt).

Как видишь, добывать свежие прокси самому не так уж и сложно, enjoy!

rsaEMailChecker 2.0

Особенности чекера:

  • Очень маленький размер по сравнению с аналогами;
  • Подсветка статусов;
  • Возможность приостановки и возобновления процесс чека;
  • Отображение состояния потоков чека;
  • Отображение числа просмотренных и находящихся в очереди e-mail адресов;
  • Работа в двух режимах (открытое и защищенное соединения);
  • Работа практически со всеми POP3-серверами;
  • Возможность сохранения гудов;
  • Встроенный антидубль адресов (отображение числа отброшенных одинаковых строк);
  • Возможность задавать таймаут соединения;
  • Возможность делать паузу на указанное время после определенного количества прочеканных адресов;
  • Поддержка двух видов списка (user@server.domen;password и user@server.domen:password);
  • Работает на .Net Framework 2.0 или выше.

Программа может отображать следующую информацию о статусах чека мыльников:

  • «не проверялось» – отображается, если данное мыло еще не чекалось;
  • «в очереди…» – отображается, когда строка мыло находится на очереди для чека;
  • «connected == false» – отображается, если соединение не было установлено или было принудительно разорвано удаленным сервером;
  • «invite == false» – отображается, если сервер не прислал приглашение после успешного установления соединения (возможно, POP3-сервер отключен и/или порт прослушивает другая служба);
  • «user == -err» – отображается, если имя пользователя не соответствует стандарту POP3-сервера;
  • «bad» – отображается, если пароль неверен;
  • «good» – отображается, если пароль верен.

Ах да, данный чекер написал член полюбившейся тебе команды webxakep.net, так что любые вопросы направляй в топик http://webxakep.net/forum/showthread.php?t=6348.

Как обойти капчу Вконтакте?

ВК требует ввод капчи после 3 неудачной попытки (перезагрузка F5 не помогает), а как он узнает что это именно вы делаете несколько попыток входа?

— по IP
— по кукам (cookies), кэшу и JavaScript

Значит, нам не реже чем через 3 запроса нужно менять IP и чистить куки.

С куками, кэшем и JavaScript нет проблем – их можно просто отключить в настройках браузера. 

IP можно менять установив прогу по смене IP – в этом нет ничего мудреного, в сети их полно (Гугл в помощь)

Можно пользоваться браузером  TOR (кто не знает – это браузер для анонимного гуляния по сети, он же меняет IP-шники при каждой новой сессии, полезная штука особенно для тех кто сёрфит или работает в САР)

Но почти полностью сводит на нет все попытки перебора ГЕОлокация.

Сервер ВК запоминает откуда (географически) был произведен последний вход.

И если ваш IP из другого населенного пункта, то (возможно) будет выскакивать надпись:

«Вы пытаетесь зайти под именем  Ивана Иванова из необычного места.»

Чтобы подтвердить, что Вы действительно являетесь владельцем страницы, пожалуйста, укажите все недостающие цифры номера телефона, к которому привязана страница.

Start your free trial

What is a Brute-force attack?

Brute-force attack when an attacker uses a set of predefined values to attack a target and analyze the response until he succeeds. Success depends on the set of predefined values. If it is larger, it will take more time, but there is better probability of success. The most common and easiest to understand example of the brute-force attack is the dictionary attack to crack the password. In this, attacker uses a password dictionary that contains millions of words that can be used as a password. Then the attacker tries these passwords one by one for authentication. If this dictionary contains the correct password, attacker will succeed.

In traditional brute-force attack, attacker just tries the combination of letters and numbers to generate password sequentially. However, this traditional technique will take longer when the password is long enough. These attacks can take several minutes to several hours or several years depending on the system used and length of password.

To prevent password cracking by using a brute-force attack, one should always use long and complex passwords. This makes it hard for attacker to guess the password, and brute-force attacks will take too much time. Most of the time, WordPress users face brute-force attacks against their websites. Account lock out is another way to prevent the attacker from performing brute-force attacks on web applications. However, for offline software, things are not as easy to secure.

Similarly, for discovering hidden pages, the attacker tries to guess the name of the page, sends requests, and sees the response. If the page does not exist, it will show response 404 and on success, the response will be 200. In this way, it can find hidden pages on any website.

Brute-force is also used to crack the hash and guess a password from a given hash. In this, the hash is generated from random passwords and then this hash is matched with a target hash until the attacker finds the correct one. Therefore, the higher the type of encryption (64-bit, 128-bit or 256-bit encryption) used to encrypt the password, the longer it can take to break.

Reverse brute-force attack

A reverse brute-force attack is another term that is associated with password cracking. It takes a reverse approach in password cracking. In this, attacker tries one password against multiple usernames. Think if you know a password but do not have any idea of the usernames. In this case, you can try the same password and guess the different user names until you find the working combination.

Now, you know that Brute-forcing attack is mainly used for password cracking. You can use it in any software, any website or any protocol, which do not block requests after few invalid trials. In this post, I am going to add few brute-force password-cracking tools for different protocols.

Ликбез

Brute-force (атака полным перебором) – метод решения математических задач, сложность которого зависит от количества всех возможных решений. Сам же термин brute-force обычно используется в контексте хакерских атак, когда злоумышленник пытается подобрать логин/пароль к какой-либо учетной записи или сервису.

Рассмотрим инструменты, которые можно использовать для выполнения brute-force атак на SSH и WEB-сервисы, доступные в Kali Linux (Patator, Medusa, Hydra, Metasploit), а также BurpSuite и даже самый известный сетевой сканер nmap.

Brute-force SSH

Для примера возьмем тестовую машину 192.168.60.50 и попробуем подобрать пароль пользователя test по SSH.

Мы будем использовать популярные пароли из стандартного словаря rockyou.txt. Этот и другие словари доступны в свободном доступе на гитхабе.

Patator 

Для подбора пароля средствами Patator используем команду:

где:ssh_login — необходимый модульhost – наша цельuser – логин пользователя, к которому подбирается пароль или файл с логинами для множественного подбораpassword – словарь с паролями-x ignore:mesg=’Authentication failed’ — команда не выводить на экран строку, имеющую данное сообщение. Параметр фильтрации подбирается индивидуально.

Hydra 

Для подбора пароля используя Hydra выполним команду:

где:-V – показывать пару логин+пароль во время перебора-f – остановка как только будет найден пароль для указанного логина-P – путь до словаря с паролямиssh://192.168.60.50 – указание сервиса и IP-адрес жертвы

Medusa 

Для подбора пароля с использованием Medusa выполним команду:

где:-h – IP-адрес жертвы-u – логин-P – путь к словарю-M – выбор модуля-f – остановка после нахождения валидной пары логин/пароль-v – настройка отображения сообщений на экране во время процесса подбора

Metasploit 

Произведем поиск инструмента для проведения brute-force атаки по SSH:

search ssh_login и получили ответ:

Задействуем модуль:

Для просмотра необходимых параметров, воспользуемся командой show options. Для нас это:rhosts – IP-адрес жертвыrport – портusername – логин SSHuserpass_file – путь до словаряstop_on_success – остановка, как только найдется пара логин/парольthreads – количество потоков

Указание необходимых параметров производится через команду “set“.

Указав необходимые параметры набираем команду “run” и ждем.

Противодействие

Ограничить количество устанавливаемых соединений с использованием межсетевого экрана.

Пример настройки iptables:

Такое правило установит ограничение доступа к SSH для каждого IP-адреса до 1 соединения в секунду, значительно усложнив перебор. Также эффективным решением может быть использование двухфакторной аутентификации (например, используя eToken) или аутентификации с использованием ключевой пары, а также использование ACL на основе IP-адресов.

ArxFuckingHash3

Уже знакомая тебе по предыдущим выпускам рубрики команда сайта webxakep.net с радостью готова представить свою очередную хак-утилиту.

Вообрази ситуацию, что ты нашел какой-либо хеш (md5, MySQL, Sha1) и тебе необходимо его расшифровать. Что делать? Прогонять данный хеш по бесчисленным онлайн-сервисам или ждать, когда его сбрутит специализированная программа? Есть способ лучше! Просто запускай ArxFuckingHash3, вбивай туда свой хеш и начинай парсинг! Программа сама пройдет по списку открытых сервисов и выведет результат на экран в удобной форме.

Функционал проги следующий:

  • Многопоточность (10 потоков – проверка по 10 сервисам сразу);
  • Поиск md5, MySQL, Sha1 хешей;
  • Редактирование пользователем списка онлайн-сервисов по расшифровке хешей (файл servers.ini);
  • Поиск одновременно нескольких хешей по списку;
  • Загрузка хешей из файла;
  • Автоопределение типа хеша;
  • Сохранение результатов работы программы;
  • Чекер рабочих и нерабочих сервисов;
  • Прилагаемый к программе хелп (папка ./help).

Если у тебя есть какие-то вопросы по работе утилиты, направляй их прямиком автору в топик webxakep.net/forum/showthread.php?t=4753.

Cain and Abel

I am sure you have already heard the name of this password-cracking tool. It can help in cracking various kind of passwords by performing brute-forcing attacks, dictionary attacks, and cryptanalysis attacks. Cryptanalysis attacks are done by using the rainbow tables as mentioned in the previous tool.

It is worth to mention that some virus scanners detect it as malware. Avast and Microsoft Security Essentials report it as malware and block it in system. If it is in your system, you should first block your antivirus.

Its basic functions:

  • Sniffing the network
  • Cracking encrypted passwords using Dictionary
  • Brute-Force and Cryptanalysis attacks
  • Recording VoIP conversations
  • Decoding scrambled passwords
  • Recovering wireless network keys
  • Revealing password boxes
  • Uncovering cached passwords
  • Analyzing routing protocols.

The latest version of the tool has many features, and has added sniffing to perform Man in the Middle attacks.

Download Cain and Able from this link: http://www.oxid.it/cain.html

Did You Know?

Trivia

When the Group Theater (1931-40)—the first American acting company to attempt to put the Russian Konstantin Stanislavski’s principles into action—disbanded, many of the actors who had participated in its revolutionary realistic productions on Broadway («Awake and Sing» «Waiting for Lefty») made their way to Hollywood in search of work. Two of them—Roman Bohnen («Warden») and Art Smith («Dr. Walters»)—can be seen in this film. As several of the actors in The Group had been members of the Communist Party or «leftist» organizations, they would soon be blacklisted during the «Red Scare» era of Sen. Joseph McCarthy’s search for «subversives» in the entertainment industry, one of whom was the director of this film, Jules Dassin. A year before this film was released, Kazan—who had appeared before the McCarthyite House UnAmerican Activities Committee and «named names»—happened to be in Hollywood and saw a production of one of Tennessee Williams’ early plays, «Portrait of a Madonna», directed by Hume Cronyn, who plays the sadistic Capt. Munsey in this film. Kazan was so impressed by the work of Cronyn’s wife, Jessica Tandy, that he offered her the role of Blanche Dubois in his Broadway production of «A Streetcar Named Desire.» See more »

Crazy Credits

Starring Burt Lancaster — Hume Cronyn — Charles Bickford as the men on the «Inside» Yvonne De Carlo — Ann Blyth — Ella Raines — Anita Colby as the women on the «Outside» See more »

Protect Yourself # Protect Yourself

A common attack point on WordPress is to hammer the file over and over until they get in or the server dies. You can do some things to protect yourself.

Don’t use the ‘admin’ username

The majority of attacks assume people are using the username ‘admin’ due to the fact that early versions of WordPress defaulted to this. If you are still using this username, make a new account, transfer all the posts to that account, and change ‘admin’ to a subscriber (or delete it entirely).

You can also use the plugin Change Username to change your username.

Good Passwords

The goal with your password is to make it hard for other people to guess and hard for a brute force attack to succeed. Many automatic password generators are available that can be used to create secure passwords.

WordPress also features a password strength meter which is shown when changing your password in WordPress. Use this when changing your password to ensure its strength is adequate.

You can use the Force Strong Password plugin to force users to set strong passwords.

Things to avoid when choosing a password:

  • Any permutation of your own real name, username, company name, or name of your website.
  • A word from a dictionary, in any language.
  • A short password.
  • Any numeric-only or alphabetic-only password (a mixture of both is best).

A strong password is necessary not just to protect your blog content. A hacker who gains access to your administrator account is able to install malicious scripts that can potentially compromise your entire server.

To further increase the strength of your password, you can enable Two Step Authentication to further protect your blog.

Plugins

There are many plugins available to limit the number of login attempts made on your site. Alternatively, there are also many plugins you can use to block people from accessing wp-admin altogether.

Скрипт для брута web-форм (типа, Прога для взлома ВК)

Важно! На сервере ВК стоит скрипт отслеживающий частоту отправки пакетов, т.е. если вы будете долбить со скоростью N раз/сек – вас автоматически отправят в бан лист по IP.
Также ВК использует ГЕОслежение

Без динамического IP брутить не стоит и пытаться, может помочь VPN.
Лично я считаю перебор паролей ВК делом малоперспективным, но для ценителей выложу старенький скрипт на Перл’е, позаимствованный у 5p4x2knet a.k.a. Apocalyptic’s и немного пофиксеный.

Скрипт работает методом  POST только по двум параметрам – login и пароль. 

Если логин известен (например, номер телефона), то соответствующие поля просто заполните значением без обращения к словарю.

Скрытые поля – капчу, картинки скрипт не передаст, скрывайте источник запросов (себя) как описано выше.

Тут нам пригодится вменяемый брут-словарь, который мы составляли в начале статьи. (назовем его, к примеру, brut.txt)

Также нужен файл, из которого наша программа будет получать информацию.

Программа будет вести брутфорс всех скриптов указанных в этом файле.(infa.txt). Если скрипт один, то можно заменить 

Естественно, файл для записи результатов (result.txt)

Итак,

Обещанные ссылки. Нажми для скачивания.

Брут словарь (топ лоховских паролей) (1.83 Kb)

Прога «Генератор брута» (для создания своего брут словаря) (690 Kb)

Aircrack-ng

I am sure you already know about Aircrack-ng tool. This is a popular wireless password-cracking tool available for free. I also mentioned this tool in our older post on most popular password cracking tools. This tool comes with WEP/WPA/WPA2-PSK cracker and analysis tools to perform attack on WIFi 802.11. Aircrack NG can be used for any NIC, which supports raw monitoring mode.

It basically performs dictionary attacks against a wireless network to guess the password. As you already know, success of the attack depends on the dictionary of passwords. The better and effective the password dictionary is the more likely it is that it will crack the password.

It is available for Windows and Linux platforms. It has also been ported to run on iOS and Android platforms. You can try on given platforms to see how this tool works.

Download Aircrack-ng from this link: http://www.aircrack-ng.org/

Rainbow Crack

Rainbow Crack is also a popular brute-forcing tool used for password cracking. It generates rainbow tables for using while performing the attack. In this way, it is different from other conventional brute-forcing tools. Rainbow tables are pre-computed. It helps in reducing the time in performing the attack.

The good thing is that there are various organizations, which already published the pre-computer rainbow tables for all Internet users. To save time, you can download those rainbow tables and use in your attacks.

This tool is still in active development. It is available for both Windows and Linux and supports all latest versions of these platforms.

Download Rainbow Crack and read more about this tool from this link: http://project-rainbowcrack.com/

Сколько же времени займет перебор паролей для ВК?

Напомню, что мы перебираем  221 918 520 426 688 (222 триллиона) вариантов пароля.

Поэтому, чтоб узнать сколько мы будем взламывать пароль ВК перебором  делим количество на скорость, т.е. 

221918520426688 пароля / 7,4 пароля в секунду = 29737081737176сек = 495618028953 мин = 8260300483 часов = 344179187 дней = 942957 лет

Вывод:реальная программа для взлома ВК могла бы подобрать пароль перебором за 94 тысячи лет.

Вопрос: А как же видео на ютюбе, в которых чудо-проги брутят страницу ВК за несколько минут/часов? 
Отвечаю: Это развод созданный с целью заражения вашего компа для кражи ваших же данных. Не больше – не меньше.

Можно значительно ускорить процесс перебора!
Для этого нужно:
1. Повысить вычислительную мощность. Например, заразить 1.000.000 чужих компов и со всех одновременно брутить ВК (аж смешно)
2. Укоротить брут-словарь до, например, пары тыщ.(по принципу социальной инженерии)

Как сделать брут-словарь?
1. Ручками в программе блокнот  (notepad.exe)
2. Прогой «генератор брута» (ссылка внизу статьи)

Этот брут – словарь наполняем реальными вариантами.

Реальные  – это такие, которые хоть как-то связано с взламываемым человеком:

— телефоны (его, его родственников, друзей)Пример — номера с +7с,  8кой, без 8ки – попадается редко

— даты рождения (его, его родственников, близких)Пример — (одной и той же даты) 010118, 01012018, 20180101, 180101 – попадается часто

— Имена любимых, близкихПример — SashaMaria, MariaIvanova, SaNoMaIv – попадается средне

Название сайта (или фамилия) на другой раскладкеПример, если набрать слово «vkontakte» на русской раскладке, то получится – «млщтефлеу» — такая схема ну очень часто попадается на всех сайтах.

— лоховской список паролей для брута (список самых распространенных паролей в сети — ссылка в конце статьи)

Долго ли писать словарь? Ну, не очень – полчаса за глаза хватит. А кто сказал что будет легко?))

Допустим у нас есть созданный брут словарь и рабочая прога для подбора пароля ВК (либо ручной ввод по словарю).

Возникает одна важная проблема – система защиты сервера.

Собственно помеха её заключается в том, что при слишком частых запросах сервер тупо блокирует (временно) ваш IP. Кроме того, если вы работаете с ВК через стандартную форму ввода (HTML\FORM), то после 3 ей неудачной попытки ВК будет просить ввести капчу.

В старой версии ВК можно было просто перейти на мобильную версию – m.vk.com, теперь же мобильной версии как таковой нет – в 2016 году сделали единый адаптивный дизайн.

PPS 1.0 perl web-shell

Существует огромное количество веб-шеллов, написанных на PHP. В то же время шеллы на других скриптовых языках можно пересчитать по пальцам. Так что советую не проходить мимо перлового веб-шелла PPS 1.0 от мембера Античата, Пашкелы.
Данный скрипт обладает практически всеми возможностями своих старших PHP-собратьев:

  • Авторизация (дефолтный пароль «root»);
  • Отображение системной информации;
  • Листинг директорий и файлов;
  • Загрузка, скачивание, редактирование, просмотр, удаление файлов;
  • Выполнение системных команд;
  • Выполнение chmod, touch, zip, unzip операций с файлами и папками в один клик;
  • Консоль;
  • Простой MySQL-менеджер;
  • Выполнение backconnect;
  • Выполнение Perl-кода из веб-формы;
  • Самоудаление;
  • Работа через POST-запросы.

Все вопросы и пожелания по данному скрипту направляй автору в тему forum.antichat.ru/thread198119.html.

LameScan2 с плагином antiradmin

LameScan2 – это небольшой и крайне функциональный сканер портов с поддержкой плагинов.

Функционал проги впечатляет:

  • Многопоточность;
  • Пинг хоста перед сканированием;
  • Сохранение хостов в локальной базе данных с записями вида «хост-группа», где «группа» имеет статусы «не сканирован», «up», «down» или «error» (данная фича позволяет прервать сканирование, а потом продолжить его с заданного места, либо пересканировать какую-нибудь часть хостов с помощью кнопки «Вернуть в очередь»);
  • Редактирование любой группы в базе данных булевыми операциями с блоками адресов;
  • Экспорт и импорт базы данных диапазонов в формат .csv с возможностью выбора разделителя;
  • Экспорт результатов сканирования в CSV или HTML;
  • Поддержка плагинов с очень простым SDK;
  • Расширенная работа с диапазонами IP-адресов.

Отдельно стоит задержать внимание на плагине antiradmin для LameScan2. Итак, данный плагин предназначен для восстановления забытых паролей на radmin 2.0, 2.1 и 2.2 методом брутфорса

Итак, данный плагин предназначен для восстановления забытых паролей на radmin 2.0, 2.1 и 2.2 методом брутфорса.

Особенности плагина:

  • Брут по словарю;
  • Полностью своя реализация протокола авторизации;
  • Выдача результатов брута в окно сканера и в лог;
  • Защита от лагов (пытается соединиться с хостом до тех пор, пока тот не скажет, верный пароль или нет).

Еще одной особенностью сканера является удобная система горячих клавиш:

  • ins – добавить диапазон для сканирования;
  • f9 – настроить количество потоков и пинг;
  • shift+f9 – настроить параметры плагинов;
  • f5 – начать сканить;
  • f7 – сохранить результаты в HTML;
  • f2 – сохранить таблицу;
  • f3 – загрузить таблицу;
  • ctrl+ins, далее выбрать «оффлайн» и «ошибка» – пересканировать указаные группы;

John the Ripper

John the Ripper is another awesome tool that does not need any introduction. It has been a favorite choice for performing brute-force attack for long time. This free password-cracking software was initially developed for Unix systems. Later, developers released it for various other platforms. Now, it supports fifteen different platforms including Unix, Windows, DOS, BeOS, and OpenVMS. You can use this either to identify weak passwords or to crack passwords for breaking authentication.

This tool is very popular and combines various password-cracking features. It can automatically detect the type of hashing used in a password. Therefore, you can also run it against encrypted password storage.

Basically, it can perform brute-force attack with all possible passwords by combining text and numbers. However, you can also use it with a dictionary of passwords to perform dictionary attacks.

Download John the Ripper from this link: http://www.openwall.com/john/

[править] См. также

Брутфорс относится к теме «Информационная безопасность»   

Защита информации

Мета Защита информации • Авторизация • Закрытое аппаратное обеспечение • Идентификация пользователей в Интернете • Информационные войска • Информационный суверенитет • IT-войска
I2P I2P-Bote • Туннелирование • Установка и настройка
SSH Защита • Смена порта • Ограничение количества подключений в iptables • Отключение логина root
Анонимайзеры и сайты для обеспечения анонимности Anonymouse.org • Cameleo.ru • HideME.ru • Kalarupa.com • NewIPNow • Relakks.com • Spys.one • Fineproxy.org
Анонимные сети Bitcoin • I2P • TOR • RetroShare • Netsukuku (проект) • Waves
Сокрытие персональных данных Аноним • Анонимность • Анонимные виртуальные карты платёжных систем • Клоак • • X-Originating-IP • Маскировка юзерагента • Приватность ВКонтакте • Прокси-сервер (открытый, закрытый, приватный, выходной) • Anonymox • VPN • BestMixer.io
Инциденты DDoS-атаки в 2011 году • Heartbleed • Аппаратные закладки в Intel • Запрет анонимности в российском Интернете • Индексация Яндексом личной информации • Попадание SMS от МегаФона в Яндекс • Разоблачения Сноудена • Тест на безопасность ВКонтакте • Троянская программа в русской Википедии • Упрощённая идентификация • Фишинговая атака на Живой Журнал • Хакерские атаки на сайт Лиги безопасного интернета
Инструменты и методы взлома и атаки DDoS • DeepFake • PRISM • Ботнет • Брутфорс • Вишмастер • Деанонимизация • Имперсонация • Зловред • Инъекция SQL-кода • Киберсквоттинг • Компьютер-зомби • Ошибочное делегирование прав доступа • Смерть iPhone • Социальная инженерия • Троян • Фейк • Фишинг • Petya.A • Skygofree • Trojan.Encoder
Инструменты и методы защиты CensureBlock • Charles Web Debugging Proxy • CloudFlare • DDoS-Guard.net • SOCKS-прокси • SMS-подтверждение (в Яндекс. Деньгах) • SSL-сертификат • TorBlock • Защита интернет-кошелька • Защита в OpenBSD • Интернет-мониторинг • Капча (матановая, KCaptcha, ReCAPTCHA) • Код подтверждения • Контрольный вопрос • Недопустимость открытых прокси • Отключение Рунета от глобальной сети • Пароль (Сложный пароль • Генератор паролей • Платёжный пароль (Яндекс.Деньги)) • Резервное копирование (gmail) • Сайты для получения данных пользователем о себе • Сокрытие персональных данных • СОРМ-2 • Средства предотвращения взлома • Фильтрация входящего трафика
Хакеры КиберБеркут • Сирийская Электронная Армия • Хакерская ценность • Хэлл • Шалтай-Болтай
Сайты Antichat • Suip.biz • Virusdie
Исследования Большой брат следит за тобой • Использование прокси в википроектах • Цифровой концлагерь

Выводы

На мой взгляд у сервиса PHE (как и у остальных сервисов) все же есть минус по сравнению с классическим подходом хеш+соль — добавляются точки отказа (сеть до сервиса, сервер с сервисом, сам сервис) и скорость выполнения операции увеличивается (как минимум за счет сетевого взаимодействия). Если использовать PHE сторонней компании как совершенно внешний сервис, то сюда добавляется еще сеть между датацентрами как точка отказа и дополнительное время на установление соединения и пересылку байтиков.

Тем не менее плюсы все же выглядят довольно вкусно:

  • перебирать пароли как заверяют будет невозможно (или очень долго) без приватных ключей;
  • в случае утечки базы или ключа достаточно обновить ключ и данные в базе (при должном умении это можно сделать бесшовно).

В общем, технология выглядит перспективно и я продолжу наблюдать за ней.

Спасибо Алексею Ермишкину Scratch и компании Virgil Security за то, что исследуете эту тему, делитесь информацией и публикуете исходные коды!

А как вы защищаете пароли (если не секрет)?

Рейтинг автора
5
Материал подготовил
Максим Иванов
Наш эксперт
Написано статей
129
Ссылка на основную публикацию
Похожие публикации