Plano Inclinado

100111010

12345 não presta! – Parte 2

Descobri recentemente este post, onde o autor faz uma análise bem interessante das passwords obtidas com os recentes ataques aos sites da Sony.

Os mais interessados podem ler o post inteiro mas vou resumir aqui o que consideram serem os número e conclusões mais importantes.

  • Universo de  40.000 passwords (!);
  • cerca de um terço(1/3) eram palavras de um dicionário(provavelmente nem todas em Inglês);
  • apenas 1% continha caracteres não-alfanuméricos;
  • 93% das passwords tinham entre 6 a 10 caracteres;
De todas as que não “chumbavam” ao ataque de dicionário:
  • ao todo existem 95 caracteres possíveis aceites por praticamente todos os sites, mas a base de dados em questão só tinha 78, o que significa que se todas as passwords fossem exactamente aleatorias cada caracter deveria ter uma probabilidade de ocorrer de 1/78, mas a verdade é que:
  • também chegaram à conclusão de que os números mais populares são o 1,2 e 0;
  • Mais de metade das vezes os números aparecem nas duas ultimas letras da pass;
o resultado disto é que:
Com apenas 20 caracteres descobrem-se 25% das passwords, com 27 caracteres – metade, e com 31 caracteres 80%!
e todas estas passwords não sucumbiram ao ataque de dicionário!
Assim fica exposto mais um dos “truques” que um hacker pode usar para obter passwords sem usar nenhum esquece de brute force.
Mas podemos pensar o que leva as pessoas a usar as passwords que usam. Muitos serviços hoje em dia obrigam pessoas a usar números, maiúsculas e símbolos e é muito mais facil por um “1” à frente da nossa pass do costume ou qualquer coisa assim. Depois também ninguém gosta de passwords muito compridas e assim obtemos os resultados que se vêm.
Esta análise só foi possível porque a sony armazenava as passwords propriamente ditas e não uma hash, e ataques de brute force só são possiveis quando existem ataques offline. Espero abordar estes tópicos no futuro!

π

Deixe uma Resposta

Preencha os seus detalhes abaixo ou clique num ícone para iniciar sessão:

Logótipo da WordPress.com

Está a comentar usando a sua conta WordPress.com Terminar Sessão / Alterar )

Imagem do Twitter

Está a comentar usando a sua conta Twitter Terminar Sessão / Alterar )

Facebook photo

Está a comentar usando a sua conta Facebook Terminar Sessão / Alterar )

Google+ photo

Está a comentar usando a sua conta Google+ Terminar Sessão / Alterar )

Connecting to %s

%d bloggers like this: