Как работает брутфорс?

Question

[Gene Hagmt]

Когда пытаешься узнать как работает брутфорс, только и видишь общее объяснение принципа. Однако, если говорить в контексте веб, как может взломщик подставлять генерируемые пароли? Если обычный человек входит в свою учетную запись, то вводит в инпут требуемые данные, но если бы программа для взлома вводила данные в инпут автоматически, или меняла бы значение куки, который отвечает за аутентификацию, то это происходило бы довольно медленно (каждый раз обращаться к серверу ожидая ответа..) и нереально было бы быстро перебрать большое кол-во вариантов. Поэтому появляется вопрос: как это работает?

Answer 1

[АртемЪ]

то это происходило бы довольно медленно (каждый раз обращаться к серверу ожидая ответа.

Ну так конечно можно, но так никто адекватный не делает. Ибо скорость перебора в таком варианте редко когда более одного пароля в секунду, чаще меньше.

Поэтому появляется вопрос: как это работает?

Все очень просто. Никто адекватный не занимается брутафорсом по сети. Только локально.
Берете базу хэшей которую вы скачали со взломанного сервера и спокойно брутафорсите со скорость в несколько террахэшей в секунду.

Брутафорс по сети - путем ввода пароля через стандартную веб форму не используется вообще, это не имеет смысла.

Answer 2

[Sergey В.]

Это ты расписал случай для одного потока с запросом. А если их 100, 1000 или больше?

Comments

[Gene Hagmt]

BasiC2k тогда, есть еще вопрос, если пользователь выполняет слишком много попыток входа с неверным паролем, можно ведь его временно заблокировать. Простому пользователю вряд ли удастся ввести неверный пароль больше 15, например, раз, а для хакера это ограничение, вроде как, помеха. Является ли такой вариант удачной защитой от брутфорса паролей на сайте?

[Sergey В.]

Gene Hagmt, Конечно, это существенно снизит риск подбора пароля.

[Евгений]

Gene Hagmt, если на сайте нет дыры, куда бы злоумышленник мог залить свой файлик, который сможет напрямую штурмовать базу в поисках нужной комбинации)

[Gene Hagmt]

Евгений, ну это понятно, но это отдельный вопрос.

Answer 3

[Александр Аксентьев]

как это работает?

так и работает...

Берешь 10/100/1000 взломанныхкупленных серверов, запускаешь на каждом N потоков брута, проверяешь пароли со скорость 300к/сек.
Только проблема будет в том что никто не даст тебе столько раз вводить неверный пароль.

Но братья брутеры придумали как это решить, берешь один пароль и пробуешь по очереди его на 10-100-1000 сайтах. Когда сайты закончились берешь другой пароль и по кругу.
На выходе тебя не банят за постоянно неверные пароли и меньше трат на прокси и всё такое.

Comments

[Gene Hagmt]

Александр Аксентьев ну пароль же не окажется верным на 10-15 попытку, а после такого кол-ва попыток входа, можно временно или постоянно заблокировать пользователя. Как это сработало бы для взломщика, если пусть даже с большим временным промежутком между попытками входа они засчитываются как безуспешные и в итоге блокируют пользователя с данным идентификатором?

[Александр Аксентьев]

Gene Hagmt,

если пусть даже с большим временным промежутком между попытками входа они засчитываются как безуспешные и в итоге блокируют пользователя с данным идентификатором?

Если бы все так делали, в большинстве случаев ограничивают вход на 5-10-60 минут для юзера, а чаще даже для ip.
Вот это и обходится таким брутом. А между попытками при этом будет проходить намного большее время.
К тому же такой брут и владельцы сайтов не смогут толком заметить, в отличии от варианта если начать какой-то сайт шатай сотнями запросов, а сайт стоит на шареде за 50 рублей.

Естественно это актуально когда реально большая куча сайтов проверяется, например базу сайтов на WordPress взяли где пара сотен тысяч доменов и пошли проверять.

[Александр Аксентьев]

Gene Hagmt, если в разрезе одного сайт и при блокировке юзеров из-за неправильных паролей рассматривать, то можно немного модифицировать схему.

Берем один пароль и проверяем его на большом списке логинов.
Т.е. схема такая же, только под другим углом, но здесь уже страшны блокировки IP, зато пофиг на блокировку отдельных юзеров(а если она временная, то тем более пофиг).

[Gene Hagmt]

Александр Аксентьев, вообще, я начинаю думать что блокировка пользователя по id - не такая уж хорошая идея. Интернет-злодей при желании может заблокировать какого-либо пользователя или многих пользователей, а в этом мало хорошего. Может, запоминать изначальный ip пользователя и в случае если он меняется спрашивать подтверждение юзера по mail или телефону?

[Александр Аксентьев]

Gene Hagmt, ну примерно так и работает у всех более менее серьезных сервисов.

"это вы зашли из необычного места?" и все возможные вариации исходя из этого.

Зависит от того насколько критичен "взлом" в данном сервисе.

В целом ограничивать вход можно вплоть до определенных IP или подсетей, чтобы даже зная пароль левые чуваки не смогли зайти. Или даже сотрудники из дома.

[АртемЪ]

Gene Hagmt,

вообще, я начинаю думать что блокировка пользователя по id - не такая уж хорошая идея.

Конечно.
Гораздо лучше не блокировать, а замедлять.
При первой же попытке подбора добавляйте паузу в несколько секунд при попытке аутентификации.
Реальному пользователю эти лишние несколько секунд будут малозаметны и проблем не создадут, а скорость перебора существенно снизится.
Так же помогает капча.

Может, запоминать изначальный ip пользователя и в случае если он меняется спрашивать подтверждение юзера по mail или телефону?

Можно, но не всегда нужно.
В случае какого-то ответственного сервиса вроде банковского это может быть полезным как опция.
Но надо понимать что не всем пользователям это будет удобно- у многих нет постоянного IP адреса.

[Gene Hagmt]

АртемЪ, думаю, капчу canvas'ом со второй попытки входа отправлять было бы в самый раз. Или я ошибаюсь насчет надежности капчи с помощью canvas'а? А насчет того, что вы написали о локальном брутфорсе, это в общем-то логично, но предполагается что кража бд не случится. А вопрос о том, как защитить от этой кражи сервер - отдельная тема, хоть и интересует меня в не меньшей степени. По пути, сразу спрошу, какие источники вы могли бы посоветовать по этой теме (средства обеспечения безопасности веб-приложений) ?

[Александр Аксентьев]

Gene Hagmt,

Или я ошибаюсь насчет надежности капчи с помощью canvas'а

Нет никакой проблемы сохранять картинку каптчи и отправлять в сервисы для разгадывания. Там сидят индусы и разгадывают что угодно за пару тысячных цента)
Вопрос в том надо ли будет ваш сервис так мучать.

Все популярные каптчи, в том числе рекаптча/невидимая рекаптча/рекаптча 2.0 и всё подобное уже давно разгадывается, причем довольно топорно с минимальными затратами, без всяких эмуляций браузера и т.д..

[Gene Hagmt]

Александр Аксентьев, ну, знаете, если в веб-приложении у меня фигурируют реальные деньги, то хотелось бы быть уверенным, что если проект раскрутится, то у меня не будет причин волноваться о том, что его сломают, а заказчик придет и скажет, мол, ты виноват. И если даже нельзя обеспечить абсолютную безопасность, то хоть сделать все, что позволяют навык и знания. А я лишь пытаюсь эти знания немного расширить.

[Александр Аксентьев]

Gene Hagmt, с реальными деньгами да. Тут в принципе уже озвучили все возможные варианты защиты.
Осталось выбрать баланс между удобством пользователя/уровнем защиты, по сути на ваш вкус)