Чужая информация всегда привлекала к себе внимание, а когда к ней нет прямого доступа, возникает желание прибрести этот доступ контробандным путём. Если социальная инженерия и прочая игра на чувствах не срабатывает, остаётся идти на таран и использовать метод «грубой силы», что в дословном переводе на инглиш звучит как «Brute-Force». За периметром конкретной задачи брутфорс лишён смысла – каждый случай требует индивидуального подхода. А потому предлагаю ознакомиться с алгоритмами его реализации на программном уровне, чтобы самостоятельно решать проблемы по мере их поступления.
1. Общие сведения о криптологии;
2. Практика – генератор паролей;
3. Практика – брутфорс паролей;
4. Варианты оптимизации кода;
• выбор по индексу,
• распределение по потокам Thread.
1. Криптология – общие сведения
Разработкой методов крипта и декрипта информации занимается «криптология», которая пошла по двум направлениям – криптография и криптоанализ. Первая (криптография) – это наука о методах обеспечения конфиденциальности, т.е. изучает криптосистемы и способы шифрования данных. Криптоанализ-же занимается вопросами оценки слабых сторон отдельно взятых методов защиты. Соответственно два эти направления являются враждующими сторонами, между которыми идёт не шуточная война. В рамках представленного на ваш суд материала, нас будет интересовать только криптоанализ в виде атаки на шифр, а его обобщённую схему раскрывает рисунок ниже:
БРУТ АККАУНТОВ СТИМ!ЧЕКЕР!2017//Как взломать аккаунт стим?(Проверка и вся правда)
Как видим, вариантов у взломщиков много, на все случаи жизни. Это довольно объёмная тема, и попытки охватить сразу весь материал ни к чему хорошему не приведут. Поэтому будем последовательны и рассмотрим только один из методов атак, а заинтересованный читать всегда может почерпнуть базовые сведения о криптоанализе в соответствующей литературе, или например в
Ссылка скрыта от гостей
. Чтобы понять, о чём пойдёт речь конкретно в этом треде, рассмотрим определение атак, которые выделены на рисунке выше коричневым цветом.
1.1. Атака с известным шифротекстом – «Сiphertext only attack».
В атаках этого класса предполагается, что взломщик знает алгоритм шифрования, но не знает секретный пароль. Это самый распространённый вид атак, внутри которых можно пойти по одной из следующих трёх веток:
1. Перебор ключей по словарю. Способ требует наличия «файла-словаря» – этакой базы, со списком всевозможных паролей. Словари лежат в свободном доступе, например
Ссылка скрыта от гостей
. Встречаются базы размером 30 и более гигаБайт, которые обычный блокнот мастдая уже не в силах открыть и нужно искать подходящий софт. В атаках по словарю, мы берём из него очередной пароль и подсовываем его жертве. Если облом, то парсим следующую запись и т.д. Если пароль криптостойкий и его нет в словаре, то данный подход вообще не даст результата, хотя в зависимости от размера используемой базы, процесс перебора может длиться довольно долго.
Метод взлома паролей Brute force
2. Полный перебор ключей – классический «брутфорс», или слепая атака в лоб. Отличается от метода со-словарём тем, что пароли в явном виде уже нигде не хранятся – их порождает заброшенная в цикл матка. В осуществляющем брут софте должна быть предусмотрена опция, которая позволяла-бы выбирать «алфавит» для паролей. На практике применяются следующие типы алфавитов: (1) только цифры 0..9, (2) только заглавные символы «A..Z», (3) пароли только из прописных символов «a..z», (4) гремучая смесь всех печатных символов, включая знаки препинания. Если брутить пароли с полным алфавитом(4), то перебор обязательно даст положительный результат и это придаёт надежды. Однако затраченное на поиск время может в несколько раз превысить возраст вселенной.
3. Частотный криптоанализ. Метод основывается на частоте повторения букв в пароле. Например, если пароль представляет собой осмысленное слово, то в англоязычных текстах много букв «e», и артиклей «the». Частотный криптоанализ – это любая атака, которая использует данный факт. Даже если пароль закодирован (к примеру подстановочным шифром Цезаря), то по частоте встречающихся символов можно сделать вывод, что это именно символ(е).
Таким образом, даже внутри одного класса атак имеем три совершенно разных подхода, мы-же остановимся только на втором варианте – брутфорс. По своей природе, он подразумевает попытку взлома паролей методом циклического перебора до полного совпадения. Если в качестве алфавита был выбран верхний регистр «A..Z», то на каждой итерации цикла к символу «А» прибавляем 1 и получаем «В».
После того-как дойдём до символа «Z» (26 итераций = длина алфавита), то добавляем к паролю второй символ и получаем «АА». Теперь продолжаем перебирать первый символ, пока не получим «ZA», после чего увеличиваем уже второй символ пароля «АВ» и т.д.. На каждой итерации цикла, текущий пароль забрасывается удочкой программе-жертве и если она его не проглотила, значит подставляем следующий, ..и так до второго пришествия архангела-Михаила.
При таких раскладах, противостоять бруту довольно просто – достаточно ввести ограничение на количество попыток-ввода неверного пароля (допустим 3-раза), как перебор отваливается сам по себе. Реализовать это можно проверкой хорошо спрятанного в нёдрах системы счётчика, или установкой аппаратного бряка на обращение к памяти (SEH + отладочные регистры DR0-7). Нужно помнить, что в современных реалиях программы для брутфорса паролей предлагают лишь теоретическое решение проблемы, без каких-либо гарантий по временной шкале. Прибегать к нему стоит лишь в том случае, когда основа пароля известна (например, это какое-то число или дата), и необходимо подобрать к ней комбинацию из дополнительных нескольких цифр/букв.
2. Практика – генератор паролей
Чтобы опробовать свои силы в бруте нам нужен пароль, ..а если готовых паролей нету, то напишем примитивный их генератор. Гугл предлагает нам различные варианты, а мы пополним этот зоопарк ещё одним «зверьком». В масштабах этой задачи, нужно будет сформировать три типа символьных алфавитов, из которых рандомом будем выбирать числа и буквы для пассвордов. С алфавитом проблем нет – его мы честно скомуниздим у кодировок «Base64/32/16», а рандом будем использовать как индекс (порядковый номер), для выборки символов из этих алфавитов. Base64 описывает стандарт
Ссылка скрыта от гостей
, в котором приводится полный его паспорт, в том числе и задействованные в кодировках символы:
Посмотрите на таблицу символов ASCII – все числа и буквы в ней собраны последовательно с инкрементом +1. К примеру символ верхнего регистра «А» будет лежать в памяти нашей программы как значение 41h , а все буквы нижнего регистра начинаются с 61h , т.е. разница между ними =20h или всего один бит(5). Символы всех чисел 0..9 отличаются от своего-же 10-тичного значения ровно на 30h , т.е. «1»=31h, «2»=32h и т.д. Это упрощает их перевод из верхнего в нижний регистр, или из строки в число.
Синтаксис ассемблера FASM имеет интересную директиву «%» . Если поместить её внутрь цикла, она возвращает текущий счётчик. Так-же, в наличии имеется директива «times» , которая повторяет одну инструкцию указанное кол-во раз. За ней должно следовать значение счётчика, и инструкция, которую нужно повторять (в нашем случае символ). Например, такая конструкция запишет в память все символы кодировки «Base64». Поскольку счётчик(%) начинает считать с единицы, делаем -1:
Base64: ;//
Будем считать, что забросили алфавиты в память, теперь нужно выбирать из них псевдо-случайные значения для пароля. Как видим, каждый из символов имеет свою позицию в дампе – это «индекс элемента» в массиве. Например по индексу(3) от начала лежит символ «D» со-значением 44h и т.д. (отсчёт с нуля).
Соответственно если мы сгенерим рандомный байт, то можем использовать его в качестве индекса для выборки случайного символа из общего алфавита. Только этот рандом обязательно должен быть в диапазоне 0..63, чтобы индекс не вылетал за пределы алфавита.
Если юзер захочет в генераторе паролей использовать символы кодировки «Base32», то и рандом должен быть в пределах 0..31. На практике, загнать значение в диапазон можно взятием остатка от деления. В данном случае, «потолки» всех алфавитов у нас кратны двум: 16,32,64, поэтому находить остаток от деления можно логикой, как в примере ниже (случайное значение лежит в регистре AL):
and al,63 ;// AL = число в диапазоне 0..63 and al,31 ;// AL = число в диапазоне 0..31 and al,15 ;// AL = число в диапазоне 0..15
Теперь в AL лежит число, значение которого мы должны использовать в качестве индекса в алфавите. Для этого, воспользуемся инструкцией ассемблера XLAT с таким описанием от Intel. Преимущество её в том, что она 1-байтная и процессор тратит на её исполнение всего 2 своих такта. За это время, инструкция «убивает сразу два зайца» по такой схеме:
XLAT – Table Look-up Translation (opcode = D7h)
————————————————
Находит запись байта в таблице в памяти, используя содержимое регистра AL в качестве индекса в таблице. Затем копирует содержимое записи таблицы обратно в регистр AL. Индекс в AL рассматривается как целое число без знака = 127.
Другими словами, эта инструкция требует, чтобы в регистре EBX лежал указатель на массив в памяти, а в регистр AL нужно поместить некоторый байт без-знака. Теперь XLAT берёт значение из AL и использует его как порядковый номер элемента в массиве EBX . На заключительном этапе, найденный элемент копируется обратно в регистр AL перезаписывая находящийся в нём индекс. На выходе в том-же AL получаем результат в виде символа из алфавита. Для нашего случая как-раз то, что доктор прописал, ..и всё это за каких-то пару тактов процессора.
Ну и в заключении о самом рандоме..
Сгенерить его можно различными путями – это и счётчик тактов процессора RDTSC , и текущие милли-секунды системного времени, и.. список можно продолжать бесконечно. Но без дополнительных танцев с бубном все эти варианты возвращают лишь 2, 4 или 8-байтный рандом, а ведь для индекса нам нужно число в диапазоне 0..16..32..64. Так-что мы пойдём другим путём, и специально предназначенной для крипта функцией CryptGenRandom() сгенерим сразу массив случайных чисел требуемой длинны – благо функция это позволяет. Теперь из этого массива будем читать по 1-байту, что и позволит решить проблему. В конечном итоге, прожку для генерации случайных паролей можно оформить например так:
3. Практика – программа для брутфорса паролей
Не последнюю роль в подборе паролей играет «атака по-словарю». Но процент попадания в орфографический словарь представленных выше паролей ничтожно мал, ведь это не осмысленные слова, а скорее напоминают помещённые в миксер предложения. В таких случаях, брут по-словарю абсолютно не эффективен и заранее обречён на провал. Поэтому приготовившись к длительной осаде бастиона, приходится подбирать пароль последовательным перебором всех возможных вариантов, начиная с первого и до последнего его символа. Рассмотрим, как это можно осуществить на практике.
Авансом скажу, что за разумное время (примерно месяц), брутфорсом на одной машине можно подобрать пароли длинной не более 8-ми символов. На подбор представленных выше 16-значных паролей могут уйти года! Но если учесть, что производительность современных компьютеров сейчас на высоте, то «лобовой перебор» из утопии превратился в реальность – это не брут на третьих пеньках. А если распараллелить вычисления по всем ядрам CPU и собрать в кластер несколько таких машин (что собственно и делают хакерские группировки), то время брутфорса можно уменьшить в тысячи раз.
Ниже приводится не оптимизированный исходный код программы-брутфорсера.
Значит всё-что нам нужно, это запросить у юзера пароль для брута, после чего выбрать алфавит с возможными в пароле символами. Теперь, начиная с первого индекса этого алфавита, в цикле перебирать все его символы. Как только сделаем один круг, добавляем к нашему паролю второй символ, ..следом третий и так, пока не найдём схожую с оригинальным паролем комбинацию. То-есть медленно, но верно будем продвигаться к своей цели.
Соответственно на каждой итерации цикла нужно сравнивать обе строки, а в данном примере я отображаю ещё и процесс брута на консоль – это отнимает львиную долю времени перебора. Чтобы узнать чистый профайл брутфорса, можно закомментировать демонстрацию и оставить только сравнение паролей функцией lstrcmp() и сам полезный код, без SetConsoleCursorPosition() + printf() . Вот пример:
Обратите внимание, что чем длиннее алфавит, тем дольше длиться процесс перебора. Например алфавит «Base64» содержит вдвое больше символов, чем «Base32». Соответственно и обходить его в цикле по-времени будет в два раза накладней. Поэтому если пароль состоит только из цифр типа «12345», то и выбирать нужно самый короткий алфавит «Base16» – это на порядок увеличит скорость брутфорса, чем если-бы мы выбрали только для цифр алфавит «Base64».
4. Варианты оптимизации кода
Время – основной фактор в циклическом инкременте паролей, а потому код должен быть максимально компактным, без избыточных обращений к памяти. Пример выше не может похвастаться этим, хотя и выполняет поставленную задачу. Ныне покойный К.Касперски был увлечён этим направлением и в своих трудах приводил различные фишки для оптимизации кода. Маэстро бесспорно отличался неординарным мышлением и предложил для брута весьма оригинальный вариант – рассмотрим его детали..
Значит по-прежнему имеем в памяти алфавит, из которого последовательно планируем выбирать символы для своего пароля. Здесь, мыщъх посоветовал выстрелить дробью и сразу убить стаю куропаток по такому алго. Мы знаем, что первым символом в алфавите является «А» с кодом 41h=65 . А что если использовать код очередного символа, в качестве индекса в алфавите? Правда в этом случае сам алфавит должен иметь строго определённый формат, зато код брутфорса сократится буквально до нескольких байт.
То-есть по адресу(0) в алфавите кладём символ(А) с кодом 41h , а по адресу(41h) вставляем в алфавит следующий символ(B) с кодом 42h . Далее, по адресу(42h) ставим символ(С) с кодом 43h , и т.д. Чтобы по окончании очередного прохода по всему алфавиту на автомате опять перейти в его начало, нужно всего-то закончить алфавит терминальным нулём, который послужит индексом к первому символу(А) алфавита. Всё остальное сделают инструкции XLAT (чтение в AL по индексу) и STOSB (сохранение считанного символа в пароль). Чуть запутано, но надеюсь рисунок ниже прояснит эту ситуацию:
Таким способом можно сформировать таблицу буквально всех символов, начиная с пробела с кодом 20h , и до самого подвала с символом тильда(~). Теперь наш текущий пароль будет хранить не только просто символы, но эти символы сами будут индексами к следующему символу в алфавите:
Невероятно, но буквально в 26-ти байтах мыщъх умудрился закодировать полноценный брутфорс паролей! Вот это действительно мысль достойная аплодисментов. В примере ниже я позаимствовал у него этот алгоритм, и добавил в него счётчик сгенерированных на текущий момент паролей. При каждом обновлении пароля, я увеличиваю регистр ECX на 1, после чего проверяю его на 100.000. Если равно, то запрашиваю процедуру вывода счётчика на консоль. Это позволит наблюдать скорость перебора паролей – вот вторая, оптимизированная версия брутфорса:
Чтобы посмотреть, с какой скоростью код перебирает пароли, я скомпилировал его в двух вариантах – с выводим процесса на консоль, и без него. Для этого я просто закомментировал следующие две строки кода:
invoke SetConsoleCursorPosition,[hndl],040010h ;// позиция курсора в консоли cinvoke printf,,passStr ;// показать текущий наш пароль
Если клавишей(F7) зайти в эти функции отладчиком, то обнаружим сотни строк кода, при помощи которых система реализует эти функции. Непосредственно полезная нагрузка брутфорса уходит в этом случае на 10-ый план, поэтому и время увеличивается соответственно. Эта разница показана на скринах ниже:
5. Заключение
Здесь я попытался освятить только одну сторону этого интересного направления. За бортом остались «атаки по-словарю», и это чуть другая тема со-своим подходом. Как нибудь в другой раз мы обязательно вернёмся к ней, поскольку в своей массе юзеры используют для паролей именно осмысленные слова, а вот фантазии у них не хватает. Поэтому перебор по-словарю всегда идёт на шаг впереди брутфорса.
В скрепку я положил три исполняемых файла, коды которых мы рассмотрели выше. В версии(1) имеется возможность выбрать алфавит для паролей «Base16/32/64», зато сам алгоритм перебора оставляет желать лучшего. Во-второй версии алго оптимизирован, но алфавит включает в себя все печатные символы, из-за чего процесс перебора может длиться дольше.
Без проблем можно было заточить версию(2) и на выбор алфавита, с построением соответствующих таблиц. Но оставлю это вам в качестве дз. Здесь ставлю точку, и до скорого!
Источник: codeby.net
Что такое Brute force и как делать проверку на эту уязвимость с помощью программы Hydra+Burp Suite
Brute force — это метод грубой силы, подбор [пароля] методом грубой силы атака, заключающаяся в поиске пароля из множества всех его возможных значений путём их полного перебора. Способ подбора паролей к компьютерной системе, в котором для получения хэшированных паролей используются автоматически генерируемые последовательности символов, т. е. перебираются их всевозможные комбинации до тех пор, пока пароль не будет подобран. При этом обычно учитывается наименьшая и наибольшая возможная длина пароля.
Hydra — Утилита для подбора аутентификационных данных методом грубой силы (brute force).
Burp Suite — это интегрированная платформа для выполнения тестов по безопасности веб-приложений. Её различные инструменты эффективно работают вместе для поддержки всего процесса тестирования, от составления карты сайта и анализа поверхности атаки приложения до поиска и эксплуатации уязвимостей безопасности.
Команды для работы с приложением:
R — Восстановить предыдущую прерванную/оборванную сессию
s — ПОРТ
l — ЛОГИН (Единичный)
L — ЛОГИН (Список)
p — ПАРОЛЬ (Единичный)
P — ПАРОЛЬ (Список)
x — Генерация паролей для брутфорса, наберите “-x -h” для помощи
o — ФАЙЛ
f — Выйти, когда пара логин/пароль подобрана
t — ЗАДАЧИ
w — ВРЕМЯ
F — Элемент, который укажет на не успешную авторизацию
H — Куки
- Во вкладке Proxy->Oprions настраиваем прокси на приложуху и на браузер в котором открыли сайт, чтоб перехватить запрос который отправиться при попытке авторизоваться
- Во вкладку Proxy->Intercept->Raw получим все данные переданные при попытке авторизации через браузер
4. Идем в браузер и делаем какую-то авторизацию, которая будет не валидна, так как нам надо не только взять данные, которые передаются отправке запроса, но и нам нужно какою-то увидеть уведомляху, что авторизация не прошла, для того чтоб под нее подвязать нашу утилиту Hydra, чтоб она могла понимать авторизация прошла успешно или нет.
В данном случаи у нас она такая. Можно взять даже часть с этого уведомления, 1 слово допустим.
5. Возвращаемся в Burp Suite и видим все нужные данные для формирования скрипта. Нам нужны такие типы данных с этого запроса:
- какой тип запроса Post/Get
- Cookie пользователя
- Локаторы полей ввода и кнопки войти
6.Открываем консольку и начинаем лепить запросик. Последовательность операторов может быть любой. Но я расскажу какая у меня последовательность в этом запросе:
- hydra- вызов утилиты
- -l либо -L логин либо их список
- -p либо -P пароль либо их список
- -f если хотите чтоб подбор закончился при первом нужном совпадении
- -V показать в реалтайме как происходит подбор, какой логин к какому паролю из предоставленных списков
- через какой протокол и какую тип запроса проходит при авторизации в данном случаи протокол http и запрос post-form
- саб домен, в данном случаи /index/sub/
- локаторы
- :F- в него вписать вывод при не валидных данных пользователя
- :H- кука
7.Жмем запуск и ждем результатов
Хорошо бы конечно, было бы если нас система заблочит как бота пытающегося взломать, но для этого есть мы, чтоб проверить на сколько наш проект защищен от таких штук.
Как защитится:
1. Добавить капчу
2. Добавить двухэтапную аутентификацию
3. Ввести лимиты на поступление запросов с одного IP
И помните все показанное выше, сделано в целях обучения.
Можно применять только на своих проектах, после разрешения.
Источник: medium.com
Что это — брут аккаунтов?
Вы наверняка не раз слышали выражение «брут аккаунтов». Но, скорее всего, понятия не имеете, что это значит. Для начала стоит сказать, что это учётные записи пользователей в играх, соцсетях и т.п., которые были добыты незаконным путём, то есть взломаны или украдены. Безусловно, что такое брут, как он работает, понять довольно сложно, но мы с вами попытаемся это сделать. Но для начала давайте разберёмся с тем, как не стать очередной жертвой злоумышленников.
Что такое брут, и как от него защититься
Итак, существует специальный софт, позволяющий методом подбора комбинаций из цифр и букв находить правильные пароли к существующим логинам, майлам и т. д. Конечно, в работе таких программ есть ряд особенностей. Например, чем длиннее и сложнее пароль, тем дольше он будет подбираться, всё может дойти до того, что брут будет провален. Что касается времени, то многое зависит от вычислительной мощности техники, интернет-соединения. Так, процесс может продолжаться от нескольких минут и затягиваться до суток и более.
Гай Юлий Цезарь известен как один из выдающихся политических деятелей Древнего Рима. Ему.
Вы уже наверняка успели понять, что такое брут аккаунтов. Что касается защиты, то, как было замечено выше, желательно ставить такой пароль, который сложно запомнить самому. Например, RKGJH4hKn2. Можно с уверенностью сказать, что взломать его будет довольно проблематично. Помимо этого нужно помнить, что, к примеру, много одинаковых букв не дают никакого эффекта, точно так же, как и цифр.
Всё должно быть запутано и перемешано, желательно чередовать заглавные и прописные буквы.
Что такое база для брута
Безусловно, программа не будет работать, если нет данных. Так, если ей не из чего подбирать пароли, то делать этого она не будет. База – это набор паролей и логинов. Чем обширней этот список, тем больше шансов того, что аккаунт будет взломан. Многое зависит и от того, какие комбинации в ней присутствуют, то есть чем грамотней она составлена, тем лучше.
Стоит также отметить, что база включает в себя не только пароли, но и логины, так как брутфорс, что в переводе с английского означает «грубая сила», может одновременно подбирать и то и другое.
Значение некоторых иноязычных слов остается непонятным для неосведомленного слушателя или читателя.
Стоит заметить, что сам файл, в котором хранятся все записи, достаточно большой. Минимальная длина комбинации — 3 буквы и цифры, максимальная — 8-16 в зависимости от программы и её версии. Подбор начинается с буквы «А» и заканчивается последней литерой английского или русского алфавитов. Вот по сути вся информация по базам, которая может быть вам полезна.
Кому и зачем это нужно?
На данный вопрос однозначно ответить сложно. Люди по многим причинам пытаются взламывать аккаунты. Это может быть просто забава, желание прочитать чужие письма, отправлять недействительные сообщения и т. п. Всё дело в том, что это незаконно. Помимо этого, брут можно считать самым настоящим воровством, а за это нужно отвечать. Настоятельно не рекомендуется заниматься такими делами, тем более что иногда это пустая трата времени.
Даже если аккаунт взломан, то его просто и быстро можно восстановить. Особенно просто это сделать, если вы при регистрации указывали реальные данные. Что же касается учёток, созданных на скорую руку, то вернуть их обратно будет гораздо сложнее. Но, как показывает практика, хакерами такие аккаунты не ценятся. Нет смысла забирать у кого-либо учётную запись или почту, которая не имеет ничего полезного, и об этом не нужно лишний раз говорить.
Пользователи серверов неоднократно встречаются с понятием «дедики». Что это такое? Данный термин.
Кто занимается брутфорсом?
Не будет лишним сказать, что это делают так называемые хакеры. Это что касается масштабных взломов. По большому счёту, такие люди на этом зарабатывают себе на пропитание и делают это весьма умело. А работает схема следующим образом. При помощи брута подбираются логины и пароли (определённое количество), а затем оптом всё это дело продаётся заказчикам.
То есть сами хакеры практически не используют то, что получили незаконно, а просто-напросто продают это. Но кто же покупатель, спросите вы?
Это может быть кто угодно. Единственное, что можно сказать, так это то, что они занимаются покупками большого количества учётных записей. Далее эти аккаунты продаются обычным пользователям, которые потом удивляются, что он вернулся своему прежнему владельцу. Это же касается и личных данных платёжных систем (Webmoney, Qiwi). Помимо того что есть вероятность заполучить определённое количество средств, такой аккаунт можно продать, особенно это актуально в тех случаях, когда имеются дорогостоящие сертификаты, подтверждающие компетентность владельца.
Немного о прокси серверах для брутфорса
Любой уважающий себя хакер прежде всего думает о том, как защитить себя. А так как то, что он делает, совершенно незаконно, то этому нужно уделить особое внимание. Мы уже знаем, что такое брут, а теперь хотелось бы сказать, как работает прокси-сервер. Он позволят оставаться незамеченным во время взлома учётных записей. Простыми словами, IP-адрес остаётся неизвестным.
Это и есть основная защита людей, взламывающих чужие аккаунты.
Но это еще далеко не всё. После того как учётная запись была взломана, на неё нужно зайти. Но даже имея правильный логин и пароль, иногда сделать это непросто. Например, изменение IP-адреса влечёт отправку защитного кода на почту или телефон, такая система успешно используется компанией Valve, в частности для защиты их продукта под названием Steam.
Конечно, уже стало понятно, что такое прокси для брута. Следовательно, мы можем войти в любой аккаунт и не вызвать совершенно никаких подозрений, что и делает преступление идеальным.
Несколько полезных рекомендаций
Не стоит лишний раз повторять, что пароль должен быть длинным и сложным. Также не рекомендуется пользоваться своей учётной записью в людных местах или на работе, где компьютером или ноутбуком может воспользоваться кто угодно. Во-первых, может быть использована специальная программа-шпион, которая запоминает, какие клавиши нажимались, как вы понимаете, вычислить пароль будет несложно.
Но это далеко не всё, о чём нужно знать. Желательно не запоминать пароль в браузере, так как он может быть перехвачен. Существуют аккаунты, где при входе сразу же приходит sms с подтверждающим кодом на мобильный телефон. Следовательно, если она пришла, а вы тут ни при чём, то изменяйте пароль, и желательно действовать как можно быстрее.
Чем отличается брут от чекера?
Итак, давайте теперь разберёмся, в чём же разница между этими двумя понятиями. Так, мы уже определились, что брутфорс позволяет подобрать логин и пароль путём простого перебора из словаря (базы). Рассмотрим пример на взломе почтовой службы. Например, мы получили доступ, а что делать дальше? Как правило, интересует информация об аккаунтах в соцсетях, онлайн играх, платёжных системах и т. п. Так вот, чекер сверяет пароль от почты, который у нас уже есть, на совпадения.
Простыми словами, если он совпадает, например, с тем, который установлен «Вконтакте», то мы это тут же узнаем. Можно сделать вывод, что это лишит нас лишней головной боли. Следовательно, процесс более автоматизирован и практически не требует нашего участия. Теперь вы знаете, что такое брут и чекер, и как работают эти программы.
Заключение
Исходя из всего вышесказанного, можно сделать определённые выводы. Учётную запись нужно использовать только на персональном компьютере, когда доступ посторонних людей исключён. Это же касается и подключений к бесплатным Wi-Fi, так как существует вероятность перехвата потока данных и последующей кражи вашего аккаунта.
Так как вы уже знаете, что такое программа брут, то и защититься вам будет гораздо проще. Как говорится, кто осведомлён, тот вооружен. Запомните, что то, насколько хорошо защищена ваша учётка, зависит только от вас. Если вы всё сделали правильно, то не нужно лишний раз беспокоиться, и вряд ли вам нужно будет знать, что такое брут аккаунта, и нюансы работы программы.
Источник: autogear.ru