Пентестер из Екатеринбурга создал «нейро-проверятель» паролей

Он обучил нейросеть, чтобы рассчитать скорость перебора паролей по словарям из публичных утечек.

Пентестер из Екатеринбурга создал «нейро-проверятель» паролей

Пентестер из Екатеринбурга Александр Берсенёв заметил, что многие сайты проверяют сложность паролей по формальным критериям — длине, наличию заглавных букв, цифр или специальных символов. Из-за этого большинство паролей оказываются достаточно простыми для перебора по словарям предыдущих утечек, которыми пользуются злоумышленники.

Согласно отчету SpyCloud о персональных данных за 2022 год, повторно используемые пароли были основной целью кибератак. В отчете также отмечается, что 64% пользователей использовали пароли повторно.

Для проверки скорости подбора Александр обучил нейросеть на публичных словарях паролей. По данным вычислений, длительность подбора пароля «Password123!$», считающегося надёжным сервисами Яндекса, составит около 5 минут 50 секунд, при условии перебора по 1 млн паролей каждую секунду. Для сравнения, скорость алгоритма хэширования SHA-1 на процессоре Intel i7 2.60GHz составляет 550–900 миллисекунд на миллион операций.

Сейчас сервис для проверки сложности паролей доступен в тестовом режиме. Настоящие пароли разработчик проверять не рекомендует, чтобы не раскрывать их ему.

Ранее Александр Берсенёв создал телеграм-бота для жителей Екатеринбурга, отслеживающего вспышки COVID-19 поблизости, и одну из неофициальных реализаций прокси-сервера MTProto для Telegram.

44
3 комментария

Нормально. Пока ничего не угрожает.

1

Ни один сервер вам не даст сделать миллион запросов в секунду,а сервисы авторизации как правило вообще после четырех пяти неудачных попыток блочат.

Однако, если украдены хэши, что происходит очень часто, локально вы сможете перебрать их. Возможно, даже быстрее, чем за миллион операций в секунду — зависит от алгоритма хэширования