Hakovani Facebook nalozi radi promocije prevara

[Neutrino]

Citat:

MiloshNBG kaže:

Koliko ljudi znas da koriste, veliko malo slovo, broj i simbol i vise od 8 karaktera za sifru?

Jako puno zato što čak i ako neko nije tehnički potkovan da razume prednost takve prakse, većina servisa danas zahteva određenu dužini i šablon lozinke.

Citat:

MiloshNBG kaže:

Zato sam napisao nekoliko minuta ��

Nije sporan "nekoliko minuta" deo već "svaka šifra".

Citat:

MiloshNBG kaže:

I bice teze da se hakuje, mada svaka sifra moze da se probije za nekoliko minuta.

Citat:

water wizard kaže:

mada većina verovatno procuri negde niko neće da se bakće sa brute force a verovatno te i blokiraju posle 10-100 pokušaja, plus lag dok učita stranicu računaj da bi to bilo i mnogo duže na takav način pretpostavljam

Brute force napadi se nikada ne izvode nad sistemima koji su direktno okrenuti korisnicima (login forma, klijentski API pozivi itd.) već se primenjuju isključivo nad hash-ovanim lozinkama iz kompromitovanih baza podataka.

Zapravo, brute force napad nema ni smisla nad dekriptovanim lozinkama jer se nepotrebno povećava broj kombinacija (brute force napadi koriste sve kombinacije karaktera), pa se u takvim slučajevima koriste dictionary napadi (dictionary napadi već imaju predefinisane kombinacije karaktera) sa kupljenim bazama na Dark Web-u itd.

Dakle, ako bih (hipotetički) hteo da hakujem forum Sveta kompjutera, prvo bih se pobrinuo da iskoristim neki od propusta softvera ili servera da preuzmem bazu korisnika sa MySQL servera.

Nakon toga bih tu istu bazu provukao kroz alat na jakom hardveru koji bi upoređivao brute force kombinaciju lozinke sa hash-ovanom i potencijalno salt-ovanom lozinkom koja je skladištena u bazi.

Kada alat detektuje poklapanje generisanog i skladištenog hash-a, lozinka je pronađeta

Slična situacija i za recimo WiFi mreže gde se brute force napadi nikada ne rade direktno nad ruterima već napadač (hipotetički) pošalje signal za deautorizaciju klijenta koji je već autorizovan za pristup meži ("zakačen" je na WiFi) i onda samo čeka da taj klijent automatski pošalje tzv. "4-way handshake" koji sadrži hash-ovanu lozinku.

Ovo je razlog zbog kojeg nikada ne treba čekirati opciju da se bilo koji mrežni uređaj (WiFi adapter, ruter, AP itd.) automatski konektuje na WiFi mreže jer će ova opcija automatski poslati novi zahtev za autorizaciju (i šifru) kada napadač deautorizuje klijent.

Nakon pokupljenih handshake hash-ova, proces razbijanja sa alatom na jakom hardveru se ponavlja.

@Moderatori
Sve ovo što sam napisao je opšte poznato i lako "guglabilno". Na svakom pojedincu je da sam proceni u kakve nevolje će se uvaliti ako napisano primeni u praksi (i bude uhvaćen ).