Возможность узнать пароль от ВК – как взломать профиль. Брутфорс перебор паролей

Брутфорс (происходит от английского словосочетания: brute force) — разновидность хакерской атаки — способ взлома учётных записей в компьютерных системах, платёжных/банковских сервисах и на веб-сайтах посредством автоматизированного подбора комбинаций паролей и логинов.

Брутфорс базируется на одноимённом математическом методе (brute force), в котором правильное решение — конечное число или символьная комбинация находится посредством перебора различных вариантов. Фактически каждое значение из заданного множества потенциальных ответов (решений) проверяется на правильность.

Принцип действия брутфорса

Хакер пишет специальную программу для подбора паролей либо использует уже готовое решение своих коллег. Она может быть ориентирована на определённый почтовый сервис, сайт, соцсеть (т.е. предназначена для взлома конкретного ресурса). Далее выполняется подготовка к взлому. Она состоит из следующих этапов:

1. Составление прокси-листа

В целях скрытия истинного IP-адреса компьютера, с которого будет осуществляться атака, и для предотвращения блокировки со стороны сайта, где необходимо взломать учётную запись, выполняется настройка интернет-соединения через прокси-сервер.

Поиск адресов/портов прокси осуществляется в прокси-граббере (Proxy Grabber). Эта утилита самостоятельно извлекает все данные для подключения к серверам-посредникам из сайтов, предоставляющих прокси (они задаются в списке). Другими словами, выполняется сбор прокси.

Полученная база сохраняется в отдельный текстовый файл. А затем все адреса серверов, имеющиеся в ней, проверяются на работоспособность в прокси-чекере. Довольно часто программы, предназначенные для автоматизированной добычи прокси, совмещают в себе функции и граббера, и чекера.

В итоге, получается готовый прокси лист в виде списка IP/порт, сохранённый в файле txt. (Он понадобится при настройке программы брутфорс).

1. Поиск баз для брута

К брутфорсу необходимо подключить словарь — некое множество комбинаций паролей и логинов — которые он будет подставлять в форму для входа. Он также, как и прокси-лист, имеет вид списка в обычном текстовом файле (.txt). Словари, они же базы, распространяются через хакерские форумы, сайты и файлообменники. Более опытные «умельцы» создают их самостоятельно и предоставляют всем желающим за определённую плату. Чем больше база (количество комбинаций, логинов, аккаунтов), тем лучше (для хакера) — тем больше вероятность успеха взлома.

1. Настройка брутфорса

Загружается прокси лист; программа подбора автоматически будет менять прокси, чтобы веб-сервер не обнаружил атаку и, соответственно, источник (узел) атаки.

Подключается словарь из комбинаций пароль/логин. Устанавливается количество потоков — сколько одновременно комбинаций брутфорс будет проверять. Мощный компьютер с высокой скоростью интернета уверено справляется с 120-200 потоками (это оптимальное значение). От этой настройки напрямую зависит скорость брута. К примеру, если выставить всего 10 потоков, подбор будет выполняться очень медленно.

1. Запуск брутфорса

Успешные попытки взлома программа фиксирует: сохраняет сбрученные аккаунты (пароль/логин) в файл. Длительность процедуры подбора колеблется от нескольких часов до нескольких дней. При этом она не всегда оказывается результативной — по причине высокой криптоустойчивости данных для входа либо осуществления других защитных мер со стороны атакуемого.

Виды брутфорса

Персональный взлом

Охота за конкретным аккаунтом — в соцсети, на почтовом сервисе и т.д. Посредством либо в процессе виртуального общения злоумышленник выпытывает у жертвы логин для доступа на какой-либо сайт. Затем взламывает пароль методом подбора: указывает в брутфорс адрес веб-ресурса и добытый логин, подключает словарь.

Шансы такого взлома невелики, например, по сравнению с той же XSS-атакой. Он может увенчаться успехом, если владелец аккаунта использовал пароль из 6-7 символов с незатейливой символьной комбинацией. В противном случае на «разгадывание» более устойчивых вариантов из 12,15, 20 букв, цифр и спецсимволов понадобятся годы — десятки и сотни лет, исходя из расчётов математической формулы поиска.

Брут/чек

К брутфорсу подключается база данных с логинами/паролями от почтовых ящиков одного почтового сервиса (например, mail.ru) либо разных. И прокси лист — для маскировки узла (так как по множественным запросам с одного IP-адреса веб-сервисы электронной почты довольно быстро детектируют атаку).

В опциях брута указывается список ключевых слов (как правило, названия сайтов) — ориентиры по которым он будет искать на взломанных ящиках в письмах данные для входа (например: steampowered, worldoftanks, 4game, VK). Либо конкретный интернет-ресурс.

Пользователь, регистрируясь в онлайн-игре, соцсети или на форуме, как и полагается, указывает свой мэйл (почтовый ящик). Веб-сервис присылает сообщение на указанный адрес с данными для входа и ссылкой на подтверждения регистрации. Именно эти письма и ищет брутфорс, что выудить из них логины и пароли.

Нажимаете «СТАРТ» и программа-взломщик начинает брут. Она действует по следующему алгоритму:

1. Загружает из базы логин/пароль к мэйлу.
2. Проверяет доступ, или «чекает», (автоматически авторизуется): если удаётся в аккаунт зайти — плюсует в графе good (гуды) единицу (значит найден ещё один рабочий мэйл) и начинает его просматривать (см. следующие пункты); если доступа нет — заносит его в bad (бэды).
3. Во всех «гудах» (открытых мэйлах) брутфорс сканирует письма по заданному хакером запросу — то есть ищет логины/пароли к указанным сайтам и платёжным системам.
4. При обнаружении искомых данных — копирует их и заносит в отдельный файл.

Таким образом, совершается массовый «угон» аккаунтов — от десятков до сотен. Добытыми «трофеями» злоумышленник распоряжается уже по своему усмотрению — продажа, обмен, сбор данных, кража денег.

Удаленный взлом компьютера

Брутфорс в совокупности с другими хакерскими утилитами используется для получения удаленного доступа к запароленному ПК жертвы через интернет-канал.

Данный вид атаки состоит из следующих этапов:

1. Выполняется поиск IP-сетей, в которых будет проводиться атака на компьютеры пользователей. Диапазоны адресов берутся из специальных баз либо посредством специальных программ, например таких, как IP Geo. В ней можно выбирать IP-сети по конкретному округу, региону и даже городу.
2. Отобранные диапазоны IP и словари подбора устанавливаются в настройках брутфорса Lamescan (или его аналога), предназначенного для удалённого брута логина/пароля входа в систему. После запуска Lamescan делает следующее:

• выполняет коннект на каждый IP из заданного диапазона;
• после установления связи пытается подключиться к хосту (ПК) через порт 4899 (но могут быть и другие варианты);
• если порт открыт: пытается получить доступ к системе, при запросе пароля выполняет подбор; в случае успеха — сохраняет в своей базе IP-адрес хоста (компьютера) и данные для входа.

1. Хакер запускает утилиту Radmin, предназначенную для управления удалёнными ПК. Задаёт сетевые координаты жертвы (IP, логин и пароль) и получает полный контроль над системой — рабочий стол (отображается визуально на дисплее компьютера взломщика), файловые директории, настройки.

Программы для брута

Классический брутфорс, один из самых первых. Тем не менее, не теряет своей актуальности и конкурирует с новыми решениями. Имеет шустрый алгоритм перебора и поддерживает все основные интернет-протоколы — TCP/IP, POP3, HTTP и др. Умеет подделывать куки. Брутит по словарю и генерирует пароли самостоятельно.

Мощный брут- чекер. Оснащён расширенным арсеналом функций по работе с базами (проверка, сортировка по доменам). Поддерживает различные типы прокси, проверяет их работоспособность. Выполняет сканирование писем в ящиках по таким настройкам, как дата, ключевое слово, адрес, непрочитанные сообщения. Может скачивать письма с Mail.ru и Yandex.

Appnimi Password Unlocker

Программа для подбора брутфорсом пароля к файлу на локальном компьютере. Этакая рабочая лошадка. Бесплатный вариант программы позволяет подбирать пароли не более 5 символов. О том как установить и пользоваться программой Appnimi Password Unlocker можно прочитать

Проверка аккаунта, ждите...

Взлом ВКонтакте – любимое занятие создателей спам-сетей. Но нередко бывает и так, что узнать информацию необходимо члену семьи – мужу, матери. Ведь всегда интересно, чем занят любимый человек. А если не получается законным путем – почему бы не попробовать пробиться на его личную страничку? Конечно, если на миг забыть об уголовной ответственности, которая грозит за подобные проделки.

Можно ли узнать чужой пароль от ВК, как это делается?

К счастью, социальная сеть ВКонтакте имеет лучшую защиту из возможных. Даже «защиту от дурака». Чтобы потерять свой профиль, нужно ещё очень сильно постараться – ведь только знание логина, пароля или доступ к номеру телефона странички позволит злоумышленникам проникнуть в аккаунт.

Хотя при достаточном техническом оснащении все, что взломщику необходимо для начала своей деятельности – это логин от странички. Но если жертва неопытна в компьютерных делах (а таких большинство), то даже это будет совсем не нужно. Достаточно будет лишь умело её обмануть, подсунув один из способов для обмана.

Методы, как узнать пароль от ВКонтакте стороннего пользователя

Как известно, взламывать эту социальную сеть можно многими способами. Для некоторых профилей понадобится лишь достоверный логин и немножко времени. Для других – целый комплекс мер, чтобы выудить пароль из пользователя. Но некоторых взломать невозможно в принципе, настолько сильная у них стоит защита и настолько они сами подкованы в интернет-грамотности. Потому что только внимательность и осторожность способны спасти профиль от посягательств. Неподготовленный человек попросту не заметит, что сайт, на котором он собирается сейчас ввести пароль, пишется не, например, vk.com, а wk.com. А ведь второй может оказаться сайтом-обманкой. А подозрительно хорошее и любезное общение с незнакомым раньше человеком, который сам изъявил желание поболтать, тем более с передачей номера или email-адреса – прямой угрозой к утере аккаунта.

Стоит заострить внимание на нескольких основных способах. Самый первый – кража Cookies браузера. Для этого достаточно банально при помощи специальной программы создать исполняемый файл, который можно замаскировать под картинку или текст. И как только такой файлик будет запущен – кукисы с компа отправятся на почту злоумышленника. Далее – метод с фишингом, на который любой неподготовленный человек, не обладающий хорошей внимательностью, может легко попасться. Со стороны это выглядит как обычная ссылка на какой-то ресурс ВКонтакте, которую скидывают через диалог пользователю. Естественно, он по ней переходит. И его как будто «случайно» выбьет из ВК, приходится заново вводить пароль. Однако эта страница ввода пароля – не что иное, как фишинговый сайт хакера. Он полностью копирует интерфейс социальной сети. И если ввести в него свои логин и пароль – то пользователь тут же лишится своей странички. Хотя со стороны все будет смотреться довольно мирно. Ну бывает, что ВК вылетает. К тому же грамотные хакеры всегда настраивают пересылку на то, что они как бы «хотели» показать. И после ввода пароля жертва обязательно окажется на странице с заявленным материалом внутри социальной сети ВКонтакте. Последним и, наверное, наиболее глупым, но, как ни странно, иногда срабатывающим, является социальный инжиниринг. То есть попытка обмануть человека. Как правило, это выглядит, как будто хороший друг (на деле – его «подделка» руками хакера) просит зайти на страничку жертвы под надуманным предлогом. Или же появляется внезапный «представитель Администрации» и просит срочно дать логин и пароль для входа. Многие, особенно дети и неопытные пользователи, часто «покупаются» на последний вариант и делятся паролями. И, естественно, остаются без странички.

Для многих людей социальные сети стали основным способом общения с друзьями, знакомыми. Сайт Вконтакте – одна из самых популярных площадок среди пользователей интернета. Для входа в аккаунт требуется код и логин, но человек может забыть свои данные. В таких случаях есть несколько вариантов, как узнать пароль от ВК.

Что делать, если забыл пароль от ВК

На личных страницах в социальных сетях нередко хранится переписка, которая предназначена только для владельца, поэтому безопасность аккаунта – важный аспект работы сервиса. Для защиты от взлома, хакерских атак сайт имеет несколько ступеней защиты и пассворд (пароль) – одна из них. Сама администрация для предотвращения кражи аккаунта рекомендует регулярно менять комбинации доступа. Это приводит к тому, что человек может запутаться и здесь пригодятся знания, как вспомнить пароль от ВК.

Для начала постарайтесь подобрать доступы, возможно, вы использовали один из кодов, который придумывали для других сайтов. Проверьте свои блокноты, иногда люди записывают специально свои данные, чтобы можно было их найти. Если эти варианты не помогают, можно воспользоваться другими методами, как узнать пароль во Вконтакте:

• через браузер (Opera, Mozilla);
• с помощью кнопки «Восстановить пароль»;
• через службу технической поддержки;
• используя специальное ПО (программное обеспечение).

Как посмотреть свой пароль в ВК

Этот способ требует, чтобы заранее были внесены дополнительные настройки для браузера. В этих целях чаще используют проводник Mozilla Firefox, для которого следует сделать следующие действия:

• зайдите в раздел «Настройки»;
• перейдите по пункту «Пароли и шифры»;
• нажмите на «Защита»;
• кликните на вкладку «Управление шифрами» или «Сохраненные пароли»;

Этот вариант, как узнать пароль Вконтакте подходит, если вы уже посещали и выполняли успешный вход в свой аккаунт. Найдите из перечня всех посещенных сайтов VK, кликните по адресу правой кнопкой, выпадет список, нужно выбрать строчку «Показать» или «Копировать пароль». Браузер предоставит вам данные по этому сайту, логин и пассворд. По этой же причине не рекомендуется выполнять вход на страничку с чужих компьютеров, чтобы вы не стали жертвой злоумышленников.

Вот еще один способ, как узнать свой пароль от ВК, если забыл.

Как восстановить пароль Вконтакте

Если у вас не получается войти в аккаунт и вы точно уверены, что указываете верный логин, есть еще способы, как узнать свой пароль в ВК. Один из них предлагается сразу же под формой ввода кода в виде надписи «Забыли пароль?». Процедура следующая:

1. Нажмите на эту надпись и вас перенаправит по ссылке на другую страницу.
2. Вас попросят ввести электронную почту, на которую регистрировалась страница, логин или номер телефона, привязанный к аккаунту. Введите и нажмите кнопку «Далее».
3. На почту придет письмо с инструкцией, как узнать пароль во Вконтакте и ссылкой на его восстановление.
4. Перейдите по адресу из письма, введите номер телефона, привязанный к учетной записи при регистрации.
5. Далее появится страница, где необходимо ввести код, пришедший к вам в виде смс (может прийти не сразу).
6. Если вы правильно введете код из sms, вас пустит в учетную запись и появится окно с предложением ввести новый пассворд.

Некоторые люди не привязывают к своему контакту мобильный или сменили карточку и этот номер больше недоступен. Помочь в таком случае сможет техподдержка, которая доступна прямо через инструменты в социальной сети. Вам следует перейти в раздел «Обратная связь» и обратиться с просьбой восстановления пассворда. Вам придет ответ, в котором сотрудники попросят предоставить в цифровом виде копию паспорта, на которой можно увидеть ваше фото, имя, фамилию. Также вам зададут несколько вопросов касательно вашего профиля: количество друзей, от кого были последние сообщения и т.д.

Вся эта информация нужна для подтверждения вашей личности, чтобы избежать взлома со стороны злоумышленников, которые могут выдавать себя за другого человека. При условии правильных ответов на вопросы сервисной службы вам придет на почту новый пассворд. Ответить сотрудники техподдержки могут не сразу. Как правило, сообщение от них приходит в течение 3 дней максимум.

Как узнать пароль в ВК, зная логин

Если вы точно знаете свой логин от страницы, то самый простой способ, как легко узнать пароль во Вконтакте – воспользоваться функцией «Забыли пароль?». При наличии телефонного номера вы быстро получите контроль над своей учетной записью. В случаях, когда нет никаких данных от страницы (забыли, к примеру, потому что редко пользуетесь) можно использовать другой способ выяснить необходимую информацию – воспользоваться специальным софтом.

Для получения необходимых данных можно скачать бесплатную программу. На компьютере должна находиться зашифрованная информация по всем вашим паролям и логинам, которые вы вводили в браузерах. Она не лежит в открытом доступе, представлена как беспорядочный набор цифр и букв. Сделано это для защиты от взломщиков, чтобы другие люди не могли, к примеру, взломать ваш аккаунт через рабочий компьютер или с машины из интернет-клуба. Специальные программы помогают сохранить нужные вам данные в привычном виде логин/пароль. Можете выбрать любую из списка ниже:

1. Multi Password Recovery Porlable – открывает все шифры на компьютере, может быть запущена со съемного носителя, не требует установки на ПК.
2. PasswdFinder – сканер, который находит и восстанавливает шифры с компьютера.
3. WebBrowserPassView – бесплатная утилита, которая считывает секретные комбинации из полей браузера.

Видео

При помощи современного оборудования, мы можем почти наверняка расшифровать быстрый хеш, например, MD5, NTLM, SHA1 и т. д. за разумное время.

Что я подразумеваю, когда говорю о взломе пароля длиной 12 и более символов? Я утверждаю, что при помощи современного оборудования, например, данной «бюджетной» установки , мы можем почти наверняка расшифровать быстрый хеш, например, MD5, NTLM, SHA1 и т. д. за разумное время. На практике подбор в лоб последовательностей длиной 8 и более символов бесперспективен в случае с распространенными алгоритмами хеширования. Когда же мы касаемся особенностей национального языка и человеческой психологии (например, среднее английское слово длиной 4.79 символа, а люди предпочитают использовать несколько слов при составлении паролей размером 10 и более символов), то здесь уже открываются более интересные возможности с точки зрения подбора подобных паролей. Более подробно о различных инструментах подбора рассказано в книге Hash Crack .

Почему пароли длиной 12 и более символов уязвимы?

Люди, создающие пароли длиной 10 и более символов вручную, как правило, используют стандартные слова и фразы. Почему? Потому что запомнить пароль «horsebattery123» намного проще, чем «GFj27ef8%k$39». Здесь мы сталкиваемся с инстинктом следования по пути наименьшего сопротивления, который, в случае с созданием паролей, будет проявлен до тех пор, пока менеджеры паролей не станут использоваться более массово. Я согласен, что серия рисунков, посвященная устойчивости пароля , вполне имеет право на жизнь, но только в случае небыстрыми алгоритмами хеширования, наподобие bcrypt. В этой статье будут показаны примеры атак типа Combo (когда комбинируются элементы словаря) и Hybrid (когда к атаке типа Combo добавляется прямой перебор) при помощи утилиты Hashcat , которые, надеюсь, расширят ваш арсенал. В примерах ниже будет продемонстрировано, как злоумышленник может эффективно перебрать пространство ключей и взломать пароли, которые на первый взгляд кажутся устойчивыми.

Базовая информация об атаках типа Combo и Hybrid

Комбинационная атака (Combo) : комбинируются все элементы из двух словарей.

Пример
Входные данные: dictionary1.txt dictionary2.txt
Комбинации паролей:
pass => password, passpass, passlion
word => wordpass, wordword, wordlion
lion => lionpass, lionword, lionlion

Гибридная атака (Hybrid) : представляет собой атаку по словарю с примесью комбинаций сгенерированных по определенному шаблону.

Пример
Входные данные: dictionary.txt ?u?l?l
Комбинации паролей:
pass => passAbc, passBcd, passCde
word => wordAbc, wordBcd, wordCde
lion => lionAbc, lionBcd, lionCde

Примечание 1: Последовательность генерации паролей не совсем точна и приведена для описания общей идеи.

Примечание 2: Более подробные объяснения приведены на сайте Hashcat .

Комбинационная атака

Рассмотрим комбинационную атаку с использованием словаря, состоящим из 10 тысяч наиболее употребительных слов в порядке убывания популярности. Анализ проводился при помощи N-грамм и частотного анализа на базе триллионного сборника, собранного поисковой системой Google .

Рассмотрим пример двух случайно выбранных слов, соединенных в пароль длиной 16 символов, например shippingnovember и осуществляем комбинационную атаку на данный пароль, если бы использовался алгоритм MD5:

Пример
hashcat -a 1 -m 0 hash.txt google-10000.txt google-10000.txt

При переборе всех комбинаций, состоящих из слов, соединенных друг с другом, при помощи современных аппаратных средств пароль взламывается менее чем за одну секунду. При работе с другими, более медленными, алгоритмами пароль также подбирается за разумное время.

Рисунок 1: Время подбора пароля shippingnovember при помощи комбинационной атаки

Критики могут возразить, мол, если вначале каждого слова сделать заглавные буквы или добавить цифру или специальный символ, то новый пароль (например, ShippingNovember) будет более устойчив. Проверим эту теорию на практике и скомбинируем словарь google-10000 в единый большой массив паролей при помощи утилиты combinator.bin , что позволит нам комбинировать полученные слова в сочетании с правилами.

Пример
combinator.bin google-10000.txt google-10000.txt > google-10000-combined.txt

Теперь, когда у нас есть словарь комбинаций, мы добавляем правила с целью подбора модифицированного пароля (ShippingNovember).

Пример
hashcat -a 0 -m 0 hash.txt google-10000-combined.txt -r best64.rule

Рисунок 2: Время подбора пароля ShippingNovember при помощи словаря комбинаций и правил

Новый пароль расшифрован за 28 секунд. Схожим образом добавляются правила, учитывающие специальные символы, различное местонахождение комбинации и так далее. Думаю, вы уловили суть.

Пароли из 3 слов

Используя созданный словарь комбинаций, попробуем подобрать пароль из трех слов, например «securityobjectivesbulletin», при помощи комбинационной атаки.

Пример

hashcat -a 1 -m 0 hash.txt google-10000-combined.txt google-10000.txt


Рисунок 3: Время подбора пароля securityobjectivesbulletin

Схожий пароль с добавлением других символов взломается чуть медленнее. Улавливаете тенденцию?

Пароли из 4 слов

Теперь рассмотрим взлом паролей, состоящих из четырех слов (пример: «sourceinterfacesgatheredartists»). В этом случае пространство ключей увеличивается до 10.000.000.000.000.000 кандидатов, но в итоге подбор занимает разумное время. В основном из-за того, что используется алгоритм MD5. Мы создаем новый словарь комбинаций и осуществляем комбинированную атаку при помощи Hashcat.

Пример
hashcat -a 1 -m 0 hash.txt google-10000-combined.txt google-10000-combined.txt

Рисунок 4: Время подбора пароля sourceinterfacesgatheredartists

Процесс перебора при помощи современных аппаратных средств мог занять 4 дня, но правильный кандидат был найден в течение 5 часов 35 минут. Добавление цифр или специальных символов сделало бы пароль вне нашей досягаемости, но использование лишь четырех случайных слов делает пароль уязвимым.

Гибридная атака

Гибридные атаки требуют большей находчивости, но когда нужный шаблон найден, находка становится сродни золотому слитку. Особенно незабываемые ощущения доставляет прокрутка расшифрованных паролей в терминале.

Атака по словарю Google-10000 + маска

В первом примере мы будем использовать тот же словарь из 10 тысяч наиболее встречающихся слов в качестве базы для генерации кандидатов для перебора. Затем мы воспользуемся пакетом утилит PACK (Password Analysis and Cracking Kit) и словарем hashesorg251015.txt с сайта weakpass.com . Я выбрал именно этот словарь из-за высокого рейтинга успешности и относительно небольшого размера. Мы будем изучать словарь hashesorg и по результатам анализа создадим маски на базе наиболее популярных паролей, ограниченных определенных набором символов. Эти маски будут использоваться в начале и в конце базовых слов из словаря google-10000.txt.

Пример

Вначале сгенерируем статистику по маскам на базе паролей длиной 5-6 символов и запишем результаты в отдельный файл (учтите, что процесс генерации может занять некоторое время).

python statsgen.py hashesorg251015.txt --minlength=5 --maxlength=6 --hiderare -o hashesorg_5or6.masks

Затем преобразуем маски в формат Hashcat (файл.hcmasks) для последующего использования в гибридных атаках.

python maskgen.py hashesorg_5or6.masks --optindex -o hashesorg_5or6.hcmask

Далее в режиме 6 в качестве параметров указывает словарь и набор масок. Алгоритм перебора будет выглядеть следующим образом: берется первая маска и комбинируется с каждым словом из словаря, затем вторая маска, третья и так далее, пока не закончится весь перечень масок. Некоторые атаки могут заканчиваться очень быстро, некоторые осуществляются чуть дольше. Во время тестирования будем подбирать пароль «environmentsqaz472»

Пример
hashcat -a 6 -m 0 hash.txt google-1000.txt hashesorg_5or6.hcmask


Рисунок 5: Время перебора пароля environmentsqaz472

Подбор занял около 20 минут. Вначале мы добрались до маски?l?l?l?d?d?d, а затем в течение 14 взломали пароль.

Атака на базе словаря Rockyou + Rockyou -1-60. hcmask

Теперь воспользуемся набором масок, который идет в комплекте с утилитой Hashcat и сгенерирован на основе паролей из набора Rockyou. Данный набор масок разбит на отдельные порции, которые с возрастанием диапазона номеров возрастают по размеру. Размер, как я предполагаю, возрастает из-за процента паролей, на базе которых сгенерирована конкретная порция масок. Мы будем использовать файл с именем rockyou-1-60.hcmask, поскольку там наиболее ходовые маски, которые хорошо зарекомендовали себя при гибридных атаках. Этот набор масок мы будем комбинировать с паролями из словаря Rockyou . В случае с другими словарями будьте осторожны и используйте файлы не слишком большого размера. Иначе атака будет занимать СЛИШКОМ много времени. Обычно я пользуюсь словарями размером менее 500 Мб (и даже меньше) и добавляю маски в начале и в конце слов. Берем случайный пароль «sophia**!» из словаря Rockyou и в начало добавляем случайную дату «1996». В итоге получаем пароль 1996sophia**!. Во время тестов каждая маска будет комбинироваться с элементом словаря Rockyou.

Пример
hashcat -a 7 -m 0 hash.txt rockyou-1-60.hcmask rockyou.txt


Рисунок 5: Время подбора пароля 1996sophia**!

Во время перебора через несколько минут дело дошло до маски?d?d?d?d. Данный пример показан с целью демонстрации процесса и эффективности гибридных атак. Файл rockyou-1-60.hcmask содержит 836 масок, сгенерированных на базе наиболее часто встречающихся паролей из словаря rockyou.txt. Если вам мало этого набора, в комплекте с Hashcat идут все маски, сгенерированные на базе остальных паролей.

Первые 5 символов + маска

Теперь создадим новый словарь и набор масок. Мы уже знаем, что среднее английское слово занимает 4.79 символов , и поэтому будем создавать словарь, содержащий элементы не более 5 символов. Данный словарь будет сгенерирован на базе файла rockyou.txt, где у каждого элемента будут отрезаны первые 5 знаков. Далее удаляются дубликаты, и полученный список сортируется и помещается в файл first5_dict.txt. Полученный словарь занимает 18 МБ, что слишком мало для атаки на быстрый алгоритм MD5, но вполне приемлемо для более медленного хеша.

Пример
cut -c 1-5 rockyou.txt | sort -u > first5_dict.txt

Затем мы будем комбинировать элементы словаря first5_dict.txt и маски из файла rockyou-1-60, который идет в комплекте с Hashcat. Некоторые кандидаты будут менее 12 символов, но вы можете исключить маски, длиной менее 7 символов и создать новый файл с расширением.hcmask. Вновь берем случайный пароль Alty5 из файла first5_dict.txt и добавим случайную последовательность цифр 9402847. В итоге получаем пароль Alty59402847.

Пример
hashcat -a 6 -m 0 hash.txt first5_dict.txt rockyou-1-60.hcmask


Рисунок 6: Время подбора пароля Alty59402847

Эта атака особенно эффективна против пользователей, которые любят пароли, где распространенное слово сочетается с цифрами в целях рандомизации. Подобный пароль подбирается в течение 30 минут.

Прямая атака по маске на пароль 12 и более символов

Я понимаю, что данный тип атак не относится к гибридным, но, тем не менее, использование 12 символьных и более масок все еще дает результаты особенно, если пользоваться утилитой PACK. Атака на пароль, закодированный определенным алгоритмом хеширования, может быть запланирована длительностью 1 день (86400 секунд) с учетом скорости аппаратных средств. Вначале нужно измерить скорость перебора, исходя из возможностей вашего оборудования, при помощи команды hashcat -b -m #type прямо в терминале. Быстро разберем создание масок для атаки на пароли длиной 12-15 символов при помощи утилиты PACK. Для генерации масок вновь воспользуемся словарем rockyou.txt, но вначале оценим скорость перебора хешей md5.

Пример (md5)
hashcat - b - m 0


Рисунок 7: Оценка скорости перебора хешей md5

По результатам тестирования выяснилось, что скорость перебора - 76,000,000,000 ключей в секунду. Далее создаем набор масок на базе словаря rockyou.txt при помощи утилиты PACK.

Пример
python statsgen.py rockyou.txt -o rockyou.masks

Теперь создаем файл hcmask, при помощи которого часть паролей длиной 12-15 символов будут перебираться в течение 1 дня (86400 секунд).

Пример


Рисунок 8: Процедура подбора паролей по маске

Затем мы можем запустить серию атак по маскам, используя файл rockyou_12-15.hcmask, для перебора хешей md5. Промежуточные переборы будут завершаться спустя 1 день.

Пример
hashcat -a 3 -m 0 hash.txt rockyou_12-15.hcmask

Заключение

Как вы могли убедиться, пароли длиной 12 символов не являются настолько неуязвимыми. Требуется лишь немного хитрости и творчества для выработки правильной стратегии перебора. Кроме того, не думайте, что если пароль более 11 символов, то ваш любимый онлай-сервис захеширует все правильно.

Сегодня социальные сети стали неотъемлемой частью жизни. По постам и фотографиям можно не только узнать события из личной жизни людей, но и узнать об их местонахождении. Поэтому ситуации, когда пользователь забыл логин и пароль от аккаунта вызывают панику. На самом деле поводов для беспокойства нет. Восстановить пароль в ВК можно несколькими способами.

Логин - это имя пользователя. Это может быть как настоящее имя человека, написанное латинскими буквами, ник (выдуманное имя) либо комбинация цифр и букв.

Пароль - это комбинация букв, цифр и символов. Его длину и структуру корректирует администрация сайта. Безопасными (то есть такими, которые тяжело взломать) считаются пароли длиною минимум 6 символом и включающие специальные знаки. Логин и пароль используются для авторизации на сайте. Если один из этих элементов отсутствует, то открыть аккаунт в социальной сети не получится. Примеры пары логин и пароль: Olya (qH3!bjrHhj), Roxana (gfhjk6).

Поэтому регистрация пользователя осуществляется с привязкой к почте или номеру мобильного. В этом случае пользователь получает в виде СМС или письма свои логин и пароль. Также желательно хранить эти данные на листе бумаги или в телефоне, чтобы в любой момент можно было восстановить информацию. Пользователи, которые регистрируются через почту, обычно создают папку «логины», в которой хранятся все письма с регистрационными данными.

Как узнать свой пароль от Вк через браузер

При первом посещении сайта браузер запрашивает разрешение на сохранение данных. Если пользователь дает свое согласие, то браузер логин и пароль заносит в буфер. Просмотреть эту информацию можно в настройках каждого браузера.

Чтобы восстановить пароль от ВК в Яндекс браузере, нужно:

в правом углу нажать три точки и в списке выпадающего меню перейти в пункт «Настройки »;новую страницу прокрутить вниз до пункта «Показать дополнительные настройки »;найти кнопку «Управление паролями »;

в поисковой строке вбить сайт ВК и нажать кнопку «» в сроке с паролем.

Чтобы узнать пароль от ВК в Google Chrome, необходимо:

в правом углу окна нажать кнопку в виде трех точек и в меню выбрать пункт «Настройки »;

новое окно прокрутить до пункта «»;

в новом окне выбрать «» - кнопка «Настроить » - откроется окно с сохраненными паролями;в поисковой строке следует указать название сайта и выбрать пункт показать напротив строки с паролем.

Opera

Чтобы узнать пароль от ВК в Opera, необходимо:

в левом углу окна нажать кнопку «Меню » и перейти в пункт «Настройки »;в левой части окна выбрать «Безопасность » - «»;

откроется окно с сохраненными паролями;в поисковой строке следует указать название сайта и выбрать пункт показать напротив строки с паролем.

Mozilla Firefox

Чтобы узнать пароль от ВК в Mozilla Firefox, необходимо:

в правом углу окна нажать кнопку «Меню » и перейти в пункт «Настройки »;перейти к разделу «» - нажать кнопку «»;

в новом окне указать URL-адрес сайта, чтобы отобразился пароль от социальной сети.

Если пользователь использовал браузер, а затем установил приложение, но не помнит пароль от социальной сети, его можно восстановить описанным ранее способом, но через телефон. Например, при работе с Google Chrome следует на смартфоне открыть браузер и указать в поисковой строке ссылку . В окне «Сохраненные пароли » найти нужный сайт. В первой строке указан логин (адрес электронной почты), а во второй - пароль, скрытый звёздочками. Чтобы его посмотреть, нужно нажать на значок глаза:

Как взломать чужой пароль от страницы Вк

В социальных сетях сегодня хранится большое количество информации: от истории посещения сайтов, до личной переписки и даже банковских данных. Поэтому желающих узнать логин и пароль от ВК чужих сторонних пользователей очень много.

Под взломом страницы подразумевается возможность получения логина и пароля чужого пользователя. Если известный ник пользователя, то половина работы выполнена. Для полного успеха потребуется доступ к мейлу жертвы и его телефон под рукой. Злоумышленнику достаточно по странице в ВК нажать кнопку «Забыл пароль? » и проследовать инструкциям на электронной почте для его восстановления. Телефон потребуется для подтверждения нового пароля. Детально этот способ будет описан далее.

Можно также рассмотреть вариант кражи файлов Cookies со стороннего ПК. Данные способ сработает, если пользователь авторизуется в соцсети только через браузер. Любая антивирусная программа быстро обнаружит шпионские приложения по краже паролей.

Хакерские услуги

У любого популярного сайта имеются фишинговые двойники. Они представляют собой копию главной страницы, но с измененным адресом, например, vkk.ru, vvk.com и так далее. Как только пользователь вводит свои логин и пароль для входа на сайте, злоумышленники автоматически получают эти данные и могут использовать их в своих целях. Главная задача хакеров - заманить пользователей на фишинговый сайт. Чаще всего для этого используется вирус. Он прописывает изменения в файле hosts в Windows, в результате которых пользователя перебрасывает на фишинговый сайт. Второй способ - переход по вызывающему баннеру или гиперссылке. Чтобы не попасться на ловушку мошенников, нужно установить на ПК хороший антивирус.

Как можно восстановить пароль в Вк

Рассмотрим самые популярные способы получения данных.

Чтобы восстановить пароль к ВК, нужно на главной странице сайта нажать ссылку «Не можете войти? »:

Указать логин (e-mail или телефон) пользователя и нажать «»:

Если данные верные, то ВК отобразит страницу с аватаркой, ФИО. Нужно нажать кнопку «».

На привязанный номер телефона будет отправлен код. Его нужно ввести в форму, и нажать «».

Остается только придумать новый пароль к социальной сети.

По привязке к мобильному или почте

Проще всего узнать пароль от ВК по электронной почте. Для этого нужно на странице восстановления доступа нажать ссылку «НЕ помню логин ».В следующем окне нужно указать ссылку на страницу, то есть ID :

Откроется страница восстановления пароля от ВК.

После заполнения формы на указанный Email поступит письмо с дальнейшими инструкциями..

Метод подбора

Если пользователь известные логин социальной сети, то узнать пароль к ВК можно методом подбора. Обычно пароль включает:

дату рождения;номер домашнего или мобильного телефона своего (родителей или детей);фамилия пользователя;геймерский ник;кличка животного;популярные сочетания, например, 123456;слово «Пароль ».

Нужно по очереди пробовать каждый вариант. Чтобы пользователь всегда помнил пароль, это должны быть значимые для него цифры, буквы или символы.

Видео-инструкция