Attaques Dictionnaire 101

Le pirate, qui va par la poignée GMZ, a déclaré à niveau de menace le mardi, il a gagné l'entrée au panneau de contrôle administratif de Twitter en pointant un mot de passe-devineur automatisé sur le compte d'un utilisateur populaire. L'utilisateur est avéré être un membre du personnel de soutien de Twitter, qui avait choisi le mot de passe faible « bonheur. »

« Je pense qu'il est un autre cas d'administrateurs ne pas mettre en avant l'effort vers l'une des failles de sécurité les plus évidentes et galvaudé, » écrit-il dans une interview IM. « Je suis sûr qu'ils ont du mal à l'admettre. »

Si vous êtes un modérateur ou un administrateur, il est particulièrement négligent d'avoir un tel mot de passe facile à deviner. Mais la vraie question ici est la façon dont Twitter a permis illimité, comme rapide-que-possible tentatives de connexion.

Sur la base de ces données, l'utilisateur moyen de MySpace a un mot de passe alphanumérique à 8 caractères. Ce qui est pas terrible, mais ne semble pas trop mal. Jusqu'à ce que vous trouvez que 28 pour cent de ces caractères alphanumériques étaient minuscules avec un seul chiffre final - et les deux tiers du temps que le dernier chiffre était de 1!

Oui, les attaques de force brute sont encore pour les nuls. Même le mot de passe MySpace généralement horrible - huit caractères minuscules, se terminant par 1, nécessiterait environ 8 milliards de tentatives de connexion:

A une tentative par seconde, cela prendrait plus de 250 ans. Par utilisateur!

Mais une attaque de dictionnaire. comme celui utilisé dans le Twitter pirater? Eh bien, c'est une autre histoire. Le Dictionnaire anglais Oxford ensemble contient environ 171 000 mots. Comme vous pouvez l'imaginer, la personne moyenne utilise seulement une petite fraction de ces mots, selon certaines estimations, quelque part entre 10 et 40 mille. A une tentative par seconde, nous pourrions essayer chaque mot dans le dictionnaire anglais Oxford dans un peu moins de deux jours.

De toute évidence, la dernière chose que vous voulez faire est de donner attaquants carte blanche pour exécuter les tentatives de connexion illimitée. Tout ce qu'il faut est un utilisateur avec un mot de passe faible pour fournir des attaquants un pied dans votre système. Dans le cas de Twitter, les attaquants a vraiment touché le jackpot: l'utilisateur avec le mot de passe le plus faible qui est arrivé à être membre du personnel administratif Twitter.

1er échec de la connexion

Articles Liés

• Email - Dictionnaire Attaques Server Support - Gestion par rackAID

• Quelles sont les différences entre l'attaque dictionnaire et attaque en force brute Informations sur la sécurité

• Qu'est-ce que la définition d'attaque dictionnaire de