Действительно ли атака Bruteforce достижима?

Question

Действительно ли атака Bruteforce достижима?

Я пытаюсь провести тестирование на проникновение на один из моих веб-сайтов. Имя пользователя и пароль мне неизвестны. Я пытаюсь взломать имя пользователя и пароль с помощью атаки методом перебора.

Хотя, эта стратегия должна быть простой, так как мне нужно каждый раз генерировать новую буквенно-цифровую комбинацию переменной длины и публиковать ее, используя какую-то самопишущую программу.

Но эта стратегия требует много времени и сил обработки. Мое простое сомнение в том, что эта стратегия достаточно хороша для взлома имени пользователя и пароля, или ожидается выполнение какой-либо другой задачи.

Я много слышал о атаке по словарю, но это также требует заранее определенных и заранее ожидаемых списков имен пользователей и паролей.

Должен ли я пойти на брут (но у меня это не сработало) или программу, написанную самим собой? Как правильно использовать имя пользователя и пароли?

-1

security passwords brute-force dictionary-attack

Источник

user3431522 18 мар '14 в 04:40

2 ответа

Другие вопросы по тегам security passwords brute-force dictionary-attack

user53114 18 мар '14 в 06:49 2014-03-18 06:49 · Answer 1 · 2014-03-18 06:49

Атаки методом "грубой силы" против действующей системы онлайн нежизнеспособны, поскольку они слишком медленные: ограниченная пропускная способность, задержка, регулирование, возможно, капча и т. Д. Можно попробовать атаку по словарю, но, вероятно, только с очень коротким списком паролей.

Но для атак с использованием автономного пароля, когда злоумышленник владеет хэшем пароля, единственным ограничивающим фактором является аппаратное и программное обеспечение его собственной системы. Тем не менее, часто атаки методом перебора все еще возможны только в отношении ценных целей из-за соотношения затрат и выгод.

user164438 18 мар '14 в 04:47 2014-03-18 04:47 · Answer 2 · 2014-03-18 04:47

Это не только достижимо, с современными подходами, использующими графические процессоры и FPGA, это невероятно жизнеспособный подход. Обратите внимание, что это не обязательно относится к моделям клиент-сервер. Однако, если у вас есть зашифрованные данные, защищенные чем-то вроде PBKDF2, возможно, при достаточной вычислительной мощности пароль и, следовательно, ключ могут быть восстановлены. Соответствующий подход зависит от того, что именно вы пытаетесь атаковать. Атаковать сайты гораздо сложнее, так как без распределенной атаки сайт может просто ограничить свои ответы, замедляя время атаки.