Пентестер из Екатеринбурга создал «нейро-проверятель» паролей

Он обучил нейросеть, чтобы рассчитать скорость перебора паролей по словарям из публичных утечек.

Пентестер из Екатеринбурга Александр Берсенёв заметил, что многие сайты проверяют сложность паролей по формальным критериям — длине, наличию заглавных букв, цифр или специальных символов. Из-за этого большинство паролей оказываются достаточно простыми для перебора по словарям предыдущих утечек, которыми пользуются злоумышленники.

Согласно отчету SpyCloud о персональных данных за 2022 год, повторно используемые пароли были основной целью кибератак. В отчете также отмечается, что 64% пользователей использовали пароли повторно.

Для проверки скорости подбора Александр обучил нейросеть на публичных словарях паролей. По данным вычислений, длительность подбора пароля «Password123!$», считающегося надёжным сервисами Яндекса, составит около 5 минут 50 секунд, при условии перебора по 1 млн паролей каждую секунду. Для сравнения, скорость алгоритма хэширования SHA-1 на процессоре Intel i7 2.60GHz составляет 550–900 миллисекунд на миллион операций.

Сейчас сервис для проверки сложности паролей доступен в тестовом режиме. Настоящие пароли разработчик проверять не рекомендует, чтобы не раскрывать их ему.

Ранее Александр Берсенёв создал телеграм-бота для жителей Екатеринбурга, отслеживающего вспышки COVID-19 поблизости, и одну из неофициальных реализаций прокси-сервера MTProto для Telegram.