• Категории
  • Подписка
  • Разместить статью
18/07/10 0 1790 Hack новости
-

Метода подбора паролей снова обретает былую популярность

OAuth и OpenID — держитесь! Метод взлома основан на подсчете времени, необходимого серверу на ответ после ввода пароля. В некоторых случаях при авторизации пользователя символы в пароле проверяются и сравниваются по одному, т.е. после обнаружения неверного символа, посылается ответ о неверном пароле. Таким образом, время ответа сервера на неправильный пароль целиком быстрее, чем на неправильный пароль с верным первым символом.

Значит, если перебирать пароли по такому алгоритму, и при этом оценивать время ответа на запрос, злоумышленник легко может познаково определить нужный пароль. Не взирая на кажущуюся невероятность такого взлома, он был произведен в реалии 3 года назад на игровой системе Xbox 360, а вот производители смарт-карт внедряют защиту от перебора паролей такого рода уже давненько.

Если обратиться к теории електро цепей, то считалось, что джиттер (нежелательные фазовые и/или частотные случайные отклонения передаваемого сигнала) при передаче данных по сети подавляет все возможные варианты точного подсчета разницы во времени, но эксперты по компьютерной безопасности Нэйт Лоусон и Тейлор Нельсон утверждают, что это не есть проблемой. Они создали личный алгоритм подобного рода атаки, который полностью отвергает влияние джиттера, что в результате дало возможность взлома паролей в Интернет, ЛС и даже в облачном окружении. Детальней про свои разработки ребята расскажут на конференции Black Hat (см. https:) в Лас-Вегасе.

 


Добавить комментарий

Яндекс.Метрика