ФИЛОСОФИЯ ПОДБОРА ПАРОЛЕЙ -
пособие по хаку ников и каналов в IRC

Андрей Каролик(andrusha@sl.ru)

Спецвыпуск Xakep, номер #025, стр. 025-052-1

Практически у любого сидящего в ирке (IRC) рано или поздно возникает соблазн хакнуть чужой ник или канал. Но после десятка (а может и сотни) безуспешных попыток подобрать пароль методом тыка идея подыхает. И возникает вопрос - а реально ли в принципе подобрать пароль к нику или каналу? Чтобы ответить на этот вопрос, я достал базу с паролями к 2795 реальным никам! Идея заключалась в том, чтобы проанализировать уже имеющиеся пароли и попытаться найти любые закономерности в этих паролях. Тогда ты сможешь в дальнейшем перейти от вялых попыток подбора методом тыка (с нулевым результатом) к осмысленному и более эффективному подбору паролей, используя эти закономерности.

КАК РОЖДАЕТСЯ ПАРОЛЬ

Кто бы ни пришел на ирку, основное его желание - пообщаться. Регистрация ника - второстепенное дело, дающее всего лишь ощущение сухости и защищенности. Поэтому многие больше думают о том, чтобы не забыть пароль, и делают его максимально простым, что является роковой ошибкой. Конечно, так делают далеко не все, но большинство все-таки начинает задумываться об этом уже после того, как их ник кто-то взламывает. Другое дело, что ники далеко не всех подвергаются хаку, в основном это ники фаундеров каналов или людей, имеющих акцессы на этих каналах. Ну и, конечно же, ники операторов сети :). По какому же принципу люди придумывают свои пароли? Кто как, но в 98% случаев пароль осмысленный - в отличие от произвольной генерации паролей у тех же провов при получении аккаунта. Все зависит от времени года, дня недели и даже времени суток, в которое происходит регистрация ника. Кто-то зациклен на кличке своей кошки, кто-то на имени любимой (или нелюбимой) девушки, а кто-то мучается с запоминанием пин-кода от пластиковой карточки. Наболевшее и выливается в виде пароля к нику, так как все, что связано с переживаниями, очень легко запоминается.

ХИТ-ПАРАД ЛАМЕРСКИХ ПАРОЛЕЙ

Далеко не все утруждаются придумыванием хоть сколько-нибудь сложных паролей (или им не дано), в результате 3,3% от всех паролей (всего 2795) составляют всего лишь пять самых простейших комбинаций:

1) password - 24

2) 123456 - 22

3) 12345 - 19

4) 11111 - 17

5) qwerty - 9

А таких простейших паролей с другими комбинациями наберется не один десяток, что, по моим скромным подсчетам, составляет до 10 процентов от общего числа всех паролей. Меня, честно говоря, это поразило, но с гениальной простотой ты можешь с ходу сломать десятую часть ников. Могу только огорчить, что после выхода в свет этого номера Спеца количество подобных ников резко начнет уменьшаться :).

ЛОМАЙ ОСМЫСЛЕННО

С ламаками все понятно, а как быть с остальными 90% иркоманов? Тут подбор придется систематизировать, делая его по определенным критериям и в последовательности от более простого к более сложному. Уровень сложности, до которого ты готов дойти, потратив кучу собственного времени, определишь сам, а вот с критериями я тебе помогу. Как говорится, сколько людей - столько и паролей. Но все равно между некоторыми паролями есть общие закономерности и даже совпадения. Проанализировав 2795 паролей, я выделил следующие критерии подбора: