Наскоро моят добър приятел LAN ме хвърли макет новини. Заглавията са написани нещо като:
"ПИН-кодове на всички кредитни карти откраднати в света!"
Наскоро моят добър приятел LAN ме хвърли макет новини. Заглавията са написани нещо като:
"ПИН-кодове на всички кредитни карти откраднати в света!"
Сама по себе си, новините просто вписана откраднат PIN-код 0000 0001 0002 0003 0004 ...
Новини lan'a ме забавляваше. На същия ден, но малко по-късно, четох тук, на тази комична XKCD. След прочитане на двете забавни истории и имах идеята да напише статия.
- Вижте го моя регистрационен номер!
- Той е идеален!
- Никой няма да бъде в състояние да си спомни точно броят на колата ми! Мога да извърши престъпление, което искам само да!
- Flag във вашите ръце.
Frame 3 (по-късно):
- Twin крадец на коли изглежда се изцяло съставен от "1".
- Ах! Така че това е един и същ човек!
Какво е ПИН-кодът е най-малкото общо?
Кое от 10 000 на ПИН-кодове хора използват по-рядко.
Кое от 10 000 на ПИН-кодове хора най-често.
Ако преди сте били изправени пред предизвикателството да намерите на ПИН-кода на кредитната карта, в най-кратки срокове, редът, в който ще трябва да решат всичките си възможни ПИН-кодове?
Ако сте били помолени които четири ПИН-код е най-малкото общо, какво ще отговорите?
Всички тези въпроси са тясно свързани с гореспоменатите комикса от XKCD. Комичната престъпна планът се провали, защото си регистрационен номер е много уникално и, като следствие, много запомнящо се. Това, което се регистрационния номер се съхранява най-трудното? Попитайте всеки, запознат шпионин J, а най-добре да се изгуби в тълпата? Отговорът е доста очаква: да бъде "нормално" и не се открояват.
Вие все още ще се чудя какво ПИН-кодът е най-малкото общо?
И това, което е най-популярен?
Течове с пароли бази данни
Лично аз не ще ми позволи да обикаля около пръста нито веднъж, да не говорим за две ... Аз ще кажа още: всеки разработчик, чиито пароли се съхраняват в некриптиран данни, не разполага с правото да спи, докато той не се коригира това чудовищно недоразумение. Освен това, просто трябва да се учат от грешките на другите и да не допуска разкриване на уязвимост не е бил открит още един път от вас.
Ако вие, като служител на фирма, знаете, че защитата на базата данни с парола с клиентите си се приближи до повърхността, а след това отиде и по-добър пробег на вашите началници, борейки лири на вратата с юмруци, и настоява, че уязвимостта е решен възможно най-бързо. Не чакайте, докато не стане твърде късно. Стойка си на земята. Бъдете pristavuchimi като брус.
Заключение. защита трябва да е многопластов. И една проста маса криптиране съдържащи потребителски пароли ще защитава клиентите си, дори и ако основата се отича. Encryption не предпазва от всички възможни атаки, но вредата, която също не работи. Какъв е смисълът на съхранение на пароли не кодирани?
Нека се върнем към пробата
От всички сметки на база данни с пароли аз избрах само тези записи, в които паролата на потребителя се състои от 4 цифри [0-9]. Примерни резултати бяха обединени в една обща база данни четирицифрен парола.
От тук нататък, ние ще приемем, че четирицифрената парола и ПИН-кодове това са едни и същи.
Аз бях в състояние да се намери около 3,4 милиона четирицифрена парола. Всеки от паролата е комбинация от 4 числа 0000-9999.
Най-популярната парола: 1234 ...
... това е невероятно колко популярна парола. Какво по-фрапираща е липсата на въображение на народа на негов избор ...
... 1234 е около 11% от всички 3,4 милиона пароли.
Следва в популярността на четирицифрената парола - 1111 от около 6% от цялата извадка.
На трето място отива на 0000 до 2%.
В дясно има таблица с 20yu най-често използваните пароли. След като става чрез всички 20 възможни комбинации на 26,83% с вероятност от познае правилния ПИН-кода!
От гледна точка на теорията на вероятностите от това, ако ПИН-кодове са разпределени равномерно, изчерпаемите 20 паролите на 10 000, ние бихме предполагам правилната парола с вероятност от 0,2%, но не и с вероятност от 26.83%!
Внимателно разглеждане на масата, ние ще намерим в него всички "главните заподозрени": 1111 2222 3333 ... 9999 и 1212 и 6969 J.
Не е изненадващо, както и факта, че в началото на списъка са паролите, като парола 1122. 1313. 4321 и 1010.
Друга интересна подробност: хора предпочитат четни числа странно: 2468 пароли тип са по-чести пароли за всички нечетни числа, като например 1357.
Натрупана честота на пароли
Както вече бе споменато, първите редове на таблицата, заети от най-често използваните пароли. Честота на използване на най-популярната парола в 1234 надвишава честотата на използване на най-редките пароли 4200 заедно!
Трябва първо да се опита да отгатне около 10% от всички пароли! Но сортиране на всички 5 числа, вероятността да се познае вече е достигнал 20%!
Следната графика показва кумулативното честотата:
Оказва се, че е възможно да се отгатне към статистиката една трета от паролите, сортиране чрез общо 61 различни пароли.
Гранична до 50% могат да бъдат преодолени чрез тестване 426 пароли (за сравнение, на границата на 50% ще бъде постигнато след проверка 5000 пароли за равномерно разпределение на пароли). Тази статистика не са доволни.
Добре, сега ние знаем какво ПИН-кодове могат да бъдат намерени най-често, и че те могат лесно да се предположи, и не забравяйте. Да вървим сега с друга страна, всички ПИН-кодове се използват по-рядко?
Въз основа на моя проба, може да се каже, че най-редките парола - 8086. Той се срещна с общо 25 пъти. Съответно паролата 8086 е вероятността от 0,000744%, което е много по-малко вероятно, с равномерно разпределение, и почти пет порядъци по-малко от това на най-популярната парола.
Право показва 20 най-рядко четирицифрената парола.
Създадено с CMS "1C-Bitrix Site Мениджър"
Свързани статии