Можно вопрос от дурака: ну вот есть 10 млрд паролей, решили хакеры взломать мой аккаунт. На 5-ой попытке или раньше любая система в целом ограничит вход с любым паролем. В чём тогда опасность такого брутфорса?
База полезна для взлома WiFi как минимум. Перехватывается хэндшейк, дальше с помощью Hashcat и видеокарты перебираются все пароли из этой базы. Для сайтов с двухфакторкой угрозы нет, но всё равно неприятно если твой пароль оказался в этой базе
В целом в большинстве случаев сейчас фиг взломаешь. Ибо словишь бан на первом десятке если нет какого эксплоита. А там где можно взломать ценность небольшая. Но можно же украсть хеш. И уже по нему узнать пароль. Впрочем и в этом случае уже десятки лект есть технологии защиты. В общем взломать можно но сложно.
это к сервисам больше вопросы и слитым БД в них пароль хранится в виде хэша user1:gflhhtlu5t064tiy4gu, вот к этому хэшу и будут из списка подбирать пароль
Там пароли будут использоваться для уже слитых, но хэшированных паролей определённого сервиса.
Слили базу пользователей в сеть, но там от паролей только хэш. А тут очень удобно есть список самых популярных паролей. Вероятность найти нужный уже не нулевая.
Это не для онлайн взлома акаунтов, а когда есть физический доступ к компу или запароленному контейнеру/архиву. Сервера, как правило, ломают другими методами, находя слабости в протоколах и скриптах. Но развлечения ради можно посмотреть, есть ли твой пасс в "базе"
Если ты важный курица и хакерам нужно будет взломать лично твой аккаунт, в ход пойдут социальная инженерия, поиск уязвимостей в том, что ты юзаешь, и прочие таргетные штуки.
А брутфорсят наоборот: берут один заведомо распространённый пароль и начинают пробивать его по базе емейлов с ботнета. С точки зрения сервера разные люди с разных мест вдруг попытались зайти в разные аккаунты, и всё неудачно. Подозрительно, конечно, но ограничить эту деятельность куда сложнее, и далеко не каждый сервер вообще будет на такое реагировать.
Можно вопрос от дурака: ну вот есть 10 млрд паролей, решили хакеры взломать мой аккаунт. На 5-ой попытке или раньше любая система в целом ограничит вход с любым паролем. В чём тогда опасность такого брутфорса?
Берется другой ip-адрес из пула ботнет-сети, и процесс продолжается. И всё это можно хорошо распараллелить, разумеется
Не еби моск, все нормальные сервисы давно пользуется двух или мультифактором. Полезность этой базы паролей около нулеваая.
База полезна для взлома WiFi как минимум. Перехватывается хэндшейк, дальше с помощью Hashcat и видеокарты перебираются все пароли из этой базы. Для сайтов с двухфакторкой угрозы нет, но всё равно неприятно если твой пароль оказался в этой базе
В целом в большинстве случаев сейчас фиг взломаешь. Ибо словишь бан на первом десятке если нет какого эксплоита. А там где можно взломать ценность небольшая. Но можно же украсть хеш. И уже по нему узнать пароль. Впрочем и в этом случае уже десятки лект есть технологии защиты. В общем взломать можно но сложно.
это к сервисам больше вопросы и слитым БД
в них пароль хранится в виде хэша user1:gflhhtlu5t064tiy4gu, вот к этому хэшу и будут из списка подбирать пароль
Много где всего через полчасика можно вновь использовать те же 5 попыток и так бесконечно
Там пароли будут использоваться для уже слитых, но хэшированных паролей определённого сервиса.
Слили базу пользователей в сеть, но там от паролей только хэш. А тут очень удобно есть список самых популярных паролей. Вероятность найти нужный уже не нулевая.
Это не для онлайн взлома акаунтов, а когда есть физический доступ к компу или запароленному контейнеру/архиву.
Сервера, как правило, ломают другими методами, находя слабости в протоколах и скриптах.
Но развлечения ради можно посмотреть, есть ли твой пасс в "базе"
Если ты важный курица и хакерам нужно будет взломать лично твой аккаунт, в ход пойдут социальная инженерия, поиск уязвимостей в том, что ты юзаешь, и прочие таргетные штуки.
А брутфорсят наоборот: берут один заведомо распространённый пароль и начинают пробивать его по базе емейлов с ботнета. С точки зрения сервера разные люди с разных мест вдруг попытались зайти в разные аккаунты, и всё неудачно. Подозрительно, конечно, но ограничить эту деятельность куда сложнее, и далеко не каждый сервер вообще будет на такое реагировать.