Jedną z popularniejszych metod uzyskania nieautoryzowanego dostępu do panelu administracyjnego strony na WordPressie jest brute force. Jest to metoda polegająca na wysyłaniu kolejnych rekordów z naszej bazy z hasłami jako danych w formularzu logowania. Jeżeli kombinacja będzie poprawna, włamywacz uzyska dostęp i proces zostanie zakończony. Jeżeli jednak kombinacja jest błędna, proces należy powtórzyć wykorzystując kolejny rekord z bazy.

W rzeczywistości włamanie metodą brute force (przed którą pokazywaliśmy jak można się obronić choć w stopniu podstawowym) jest bardziej skomplikowane. Związane jest między innymi dlatego, że strony zabezpieczane są coraz częściej przed kilkukrotnymi nieudanymi próbami logowania, a sam proces potrafi zająć od kilku chwil do kilkuset lat. Zakładając że hasło posiada jedynie znaki alfanumeryczne, czyli A-Z, a-z, 0-9 do złamania hasła składającego się z 6 znaków potrzebne będzie wykonanie nawet 56 800 235 584 prób, co zajmie szybkiemu komputerowi z dwoma procesorami około 9 i pół minuty. Jeśli zamiast 6 znaków hasło będzie zawierać ich 7, wtedy czas wydłuży się aż do 10 godzin. Z ośmioma znakami będzie oczywiście jeszcze dłużej – 25 dni i 6 godzin. Oczywiście wyliczenia te nie uwzględniają tego, że celem ataku jest witryna umieszczona w Sieci, co jeszcze bardziej wydłuża potrzebny czas.

Nieraz jednak włamywacze wykorzystują najpopularniejsze hasła lub odkryte ich człony za pomocą socjotechniki. W przypadku tych drugich nierzadko skuteczną metodą jest dodanie często wykorzystywanych przez internautów prefiksów lub sufików. Jak one wyglądają? Sprawdził to Max Woolf, Software QA Engineer z Los Angeles, który wykorzystał 10 milionów haseł, które wyciekły z różnych źródeł w ciągu ostatnich lat.

seq_digit_bar three_digit_bar three_digit_heatmap two_digit_bar digit_distribution one_digit_bar two_digit_heatmap year_distribution

BRAK KOMENTARZY

ZOSTAW ODPOWIEDŹ