http://negryzis.0pk.me/ NE-GRYZIS ru-ru Wed, 24 May 2017 22:49:56 +0300 MyBB/mybb.ru http://negryzis.0pk.me/viewtopic.php?pid=130#p130 <p><span style="color: red">Слил с складчика hapnick, отправить спасибку можете битком: 15LfYx7ErFHodAuq4912cNB8t1cK8BbDo7, стоил мануал 80 штук, поэтому буду очень признателен за любые пожертвования.</span></p> <p>Доброго времени суток, уважаемые пользователи складчика, спасибо за то что преобрели данный мануал, в нем будет описана схема заработка на настоящих договорных матчах, мы не будем никого кидать, а будем честно перепродавать матчи,&#160; настоящие договорные матчи, постараюсь не заспамливать Вас кучей текста, а все кратко и по делу, еще раз спасибо за покупку.</p> <p>Для начала, чтобы не отпугивать Вас сообщу сколько денег можно заработать, все конечно зависит от Вас, но Ваша прибыль будет расти в геометрической прогрессии<br />На первый раз вы заработаете более 15 т.р, далее от 30 и более.<br />Первые деньги прийдут в первый же месяц.</p> <p>Ссылка на тему нужного нам продавца<br />capper.in/index.php?threads/dogovornye-matchi-prodazha-luchshie-ceny-otzyvy.80/ ( Оригинальная ссылка )<br />capper.online/index.php?threads/dogovornye-matchi-prodazha-luchshie-ceny-otzyvy.80/ ( зеркало для тех у кого не открывается )</p> <p>У этого продавца мы будем тарить договорные, человек для меня проверенный с ним я уже работал, других вк можете даже не искать вы кроме обмана&#160; самого себя и ваших покупателей ничего не найдете, у него сейчас 4 страницы отзывов, доверять можно, вообщем что мы будем делать. Он принимает яндекс с яндекс протекцией на любые суммы, поэтому мы ничем не рискуем, по сути деньги он получает после.</p> <p>Наша работа будет разделятся на несколько возможны вариантов развития событий<br />выбирйте каждый свой путь какой вам более удобен или нравится</p> <p>Все разделы и категории содержат под разделы для расширения !<br />1. Создаем продажник прогнозов</p> <p>a) Группу вконтакте<br />1. группу в однокласниках<br />2. аккаунт в инстаграмме<br />3. аккаунт в аске<br />4. ютуб канал</p> <p>б) Свой сайт<br />1. форум<br />2. лендинг</p> <p>2. Заполнение контентом<br />Заполняете свою группу или сайт, не обязательно пихать фейковую информацию, вы можете начать с нуля и собирать настоящие отзывы клиентов, ведь вы не будете их обманывать, рисуете аватар группы, заполняете инфо блоки и создаете f.a.q, устройте акцию для первой покупки, чтобы охватить как можно большу аудиторию, чем больше дненег соберете для старта, тем больше будет с следующим матчем.</p> <p>3. Покупка договорного матча<br />За покупкой вам нужно обратится к фанату, выбирайте матч по своему бюджету, если вы можете брать коэфициент больше, то берите его, чем больше коэфициент вы возьмете, тем больше ваши клиенты будут доверять вам на следующий раз<br />Можете работать без гаранта, но для параноиков он всегда есть, только комисию в 5% великовата, как покупать объяснять не буду, но, говорите, что покупаете для себя.</p> <p>4. Продажа договорного матча<br />Теперь вам пора приступить к продаже для этого вам нужно спамить Вашей группой или сайтом вк, если вы используете сайт, то лучше делайте редерикт для этого создайте аккаунт на фриноме и вписывайте в поле перенаправление ссылку на Ваш сайт или группу, можно использовать связку с хостингом, чтобы считать уникальных посетителей, я делал это для того, чтобы считать сколько привели мои спамеры который я просто платил по 10% с клиента, в группу все на много проще, аккаунты вконтакте купить не сложно, пишите в тексте спама, что вы перепродаете матч, так же вы можете оставлять ссылку на оригинал, пользователи будут доверять вам так как вы не продаете что-то неизвестное, что-то, то что выдумали сами.</p> <p>5. Подсчет прибыли и суммы<br />вы купили договорной за 150$ по курсу 9000 т.р<br />Перепродавайте его за 1.500 или 2.000 т.р, так вы сможете окупиться очень быстро, прошу заметить, что найти десяток человек с 2.000 т.р в разы легче, чем одного с 9.000 т.р, на жадности&#160; мы и будем играть перепродавая договорные.<br />Для того, чтобы окупить первоначальные вложения вам нужно 6 клиентов, если вы умете убеждать людей, то найдете шесть человек за пару часов, если вам неверят, что у Вас настоящие договорные покажите им оригинальный топик, их испугают цены и они будут покупать только у Вас.</p> <p>6. Анонимизация<br />Селлер постоянно следит за тем, чтобы договорные не уходили в паблик, поэтому всегда остерегайтесь и не палитесь лишний раз, не говорите, что вы перепродаете это очень важно, иначе на Вас будет написана жалоба в арбитраж и вы получите бан навсегда как это было со мной, используйте 1 аккаунт на 2-3 покупки, но не более, сделать новый не так сложно и набивайте пару постов, показывайте, что вы обычный пользователь.</p> <p>7. Остальное<br />Заставляйте клиентов после прохода договорняка оставлять отзыв в Вашей теме<br />Провоцируйте клиента заплатить вам лишнюю тысячу, если вы провернете это с 10 клиентами вы сможете взять коэфициент больше, после того как соберете более 30.000 т.р можете сами начинать ставить.</p> <p>Этот мануал можно маштабировать, возможно вам сейчас показалось, что вы отдали деньги не за что, но это не так, форум capper.in очень долго был закрытым форумом, а когда он открылся он нигде не афишировался, они прекрасно себя чувствуют в тени и вы врятли бы сами нашли их и додумались до такого, за тех поддержкой обращайтесь по контактам, буду помогать по возможности всем, могу скинутся если предоставите мне матч ( сам ставлю ) или помочь с группой или сайтом, могу продать мои готовые группы и один сайт !</p> <p><span style="color: red">вырезал контакты продавца потому что он не давал тех. поддержку все кто начал брать бесплатно и уже не продавал сайт и группу, пожертвуйте на битки за слив схемы !</span></p> mybb@mybb.ru (maxxego) Wed, 24 May 2017 22:49:56 +0300 http://negryzis.0pk.me/viewtopic.php?pid=130#p130 http://negryzis.0pk.me/viewtopic.php?pid=58#p58 <p>&lt;!--&#160; sig --&gt;&lt;div align=&quot;right&quot;&gt;&lt;a href=&quot;http://infobar.hsdn.org/&quot; target=&quot;_blank&quot;&gt;&lt;img src=&quot;240x15.gif&quot; border=&quot;0&quot; alt=&quot;&quot; /&gt;&lt;/a&gt;&lt;/div&gt;&lt;/div&gt;&lt;!-- / sig --&gt;</p> mybb@mybb.ru (ВоинСвета) Fri, 24 Apr 2009 23:50:01 +0400 http://negryzis.0pk.me/viewtopic.php?pid=58#p58 http://negryzis.0pk.me/viewtopic.php?pid=54#p54 <p>Автор: E1iT_c0rP5<br />Дата: 02-08-2000 13:22:42</p> <p>Ну что же здарова кул-хакЁр!!!Ты ещё не кул-хакер???Ты ещё не натянул сервак wwwwhitehouse.gov??? Ты ещё даже не научился выкидывать ЛОМОВ из чата??? Ну так что же, не беда, этому ты научишься позже... </p> <p>Вот задаёшься ты вопросом: как же этот кул-хакер взломал твоё вэб мыло и от твоего имени рассылает коников и вирей??? Ну ничего сегодня мы тебе расскажем как это делается самым простым способом. Для этого тебе не понадобятся какие-нибудь углубленные знания генной инженерии и знания азбуки Морзе, а так же не понадобится понятие принципа работы электронного розгонятиля протонов в вакууме. </p> <p>Ну так вот, сначала валишь на <a href="http://guest.btinternet.com/~lithiumsoft/xavior/Download.html" rel="nofollow" target="_blank">http://guest.btinternet.com/~lithiumsof &#8230; nload.html</a> и сливаем себе рулезную прогу под названием Xavior v1.0 Beta 7.Инсталим,там ничего сложного и сверхъестественного, вот у нас уже есть оружие начинающего Хакера. </p> <p>Вот запустил ты енту прогу на своей тачке и видишь уродство и говоришь себе: &quot;Блин что это за убожество, отстой, ни картинок тебе, ни нормального ХЕЛПА...&quot; (у меня так и было...=)Но всё пока ты не понимаешь ценности этой вещи. Ну вот например я тебе напишу неполный список того что ты можешь сделать с помощью этой проги: </p> <p>&#160; &#160;1. подобрать пароль к мылу своего заклятого врага и поотсылать от его мыла выря или лошадку(ну тока не Прижевальского, ну да ты сам знаешь...)<br />&#160; &#160;2. поломать ТЕХ. ПОДДЕРЖКУ своего ПРОВА и раздобыть себе ХАЛЯВНЫЙ АККАУНТИК и делать далее усё что твоей хацкерской душеньке угодно (даже продать его=)<br />&#160; &#160;3. раздобыть себе АККАУНТИК к ПОРНУШКЕ и даже если ты таким не увлекаешься (может ты этакий КАЗАНОВА и на этих баб, тем более в голом виде уже смотреть не можешь, тошнит=), то есть много людей готовых за такой АККАУНТИК сделать ТтАаКкОоЕе!!!...уже проверенно...=)))<br />&#160; &#160;4. Ну и многое другое, надеюсь ты сам понимаешь... </p> <p>Ну хорошо приступим к описанию самой проги. Вот запустил ты её и смотришь...а что же тут делать, а вот сейчас я это и объясню... </p> <p>Перед тобой менюшка с 6 закладками, о каждой по порядку: </p> <p>1)Information-это закладка в которой есть такие опции как: </p> <p>&#160; &#160; * Usernames File-енто файл в котором задаются ЛОГИНЫ<br />&#160; &#160; * Passes File-это файло в котром задаются ПАРОЛИ<br />&#160; &#160; * Currently Position Filename-это файл с расширением *.xvp. Вот это и есть хорошая фишка этой програмульки, это значит что ты можешь долбать спокойно какой-то мыл и в нём сложный пасс и требует долгого и упорного долбления, а тут как раз время ночной халявы кончается =).И что делать ты думаешь, а ничего не надо, будет всё снова начинать!!! Прога запомнит позицию долбления и потом начнёт с неё.<br />&#160; &#160; * Далее идёт status, то есть online или offline (где-то я уже это видел, вот тока никак не припомню=).В правом углу идёт усякая ИНФА типа номера сессии, попыток в секунду, оставшееся время и т.п. Внизу есть 2 окна: первое-всякая инфа ненужная, позиция долбинга (во как сказанул=),второе-окно это списки ЛОГИНОВ и ПАССОВ которые прошли или заканали...кто как называет. </p> <p>2)закладка General Options-это собственно говоря усе опции, а то есть: </p> <p>Target(Adress/IP) - ну это адресок того, что собираемся долбить. Port-это порт по которому долбится будем, по умолчанию 80(HTTP) </p> <p>Directory/File (For WEB servers) - ну а это папка на серваке куда долбится будем, по умолчанию /secure </p> <p>-Program to masqurade as...-это под что прога шифруется </p> <p>Number оf Sesions-это кол-во сессий </p> <p>Далее надо поставить галочку на Auto Save Position every 100 attemps. Потом идёт выбор куда же именно на серваке долбится будем, то есть: </p> <p>Standart HTTP basic Authentication - это стандартная проверка ЛОГИН\ПАССА </p> <p>CGI-BIN/POST - это определение ПАССА\ЛОГИНА по CGI и в ФОРМАХ </p> <p>Scripting-это по скрипту </p> <p>И вот последнее в этой закладке: </p> <p>Checking Method-метод проверки=): </p> <p>Loop throught passwrds file once for every user-это прыгать по ПАССАМ на 1 ЛОГИН,потом на 2 ЛОГИН и опять прыжки по ПАССАМ </p> <p>Make passwrd equal to username-это как я понимаю прога берёт 1 пасс и прыгает по ЛОГИНАМ,вроде так </p> <p>Brute Force all character combinations-вот это самая рульная вещь,тобиш БРУТ ФОРС или подбор по буквам </p> <p>3) 3акладка Scripting-установки скрипта. </p> <p>4) 3акладка Mutators-это мутаторы с помощью их можно например сказать проге что-бы юзала ПАССЫ и ЛОГИНЫ только в маленьких буквах. </p> <p>5) 3акладка Brute Forcing-установки БРУТ ФОРСА или наборы символов. </p> <p>6) 3акладка Advanced - вот нужная в натуре вещь, поподробней: </p> <p>Use WWW Proxy-Web PROXY adress-Port - ну енто использование ПРОКСИ сервака, вещь архинужная и архиважная! Но вот пока не могу понять почему же по умолчанию она отключена %-Е </p> <p>Sleep between multiple sessions... - пока сам понять не могу нафига оно надо...? </p> <p>Minimize To Tray - без комментариев... </p> <p>Use timeouts - это время отдыха проги между долбингом,советую отключить вообще </p> <p>Log Accepted Names/Passes to &quot;accepted.log&quot;-енто записывать удачные ЛОГИНЫ и ПАССЫ в этот файл. </p> <p>Ну да ладно этой усей инфы,я лучше расскажу всё на примере: вот например есть ПРОВ и я знаю ЛОГИН (если у юзверя есть мыло, то адрес до @ и есть как всегда ЛОГИНОМ) и знаю что пасс у него состоит где-то из 6 знаков. Мутим раз - берём Melco$oft Notepad-и пишем там ЛОГИН, например superlamer, то бишь мыло у него будет примерно такое: superlames@megaprov.com. Дальше берём любой генератор паролей и задаём ему сгенерировать 1000 паролей с большими и маленькими буквами и с цифрами...есть??? Молодец!!! </p> <p>Мутим два - осталось настроить прогу и в путь!!! Значит ставим в проге тот именно файл с ЛОГИНОМ который мы там писали (superlamer),подставляем файл с ПАССАМИ которые нам добротно сгенерировала прога-генератор паролей. Дальше ставим адрес, например wwwusers.superprov.com, отключаем таймаут, включаем прокси (даже если у тебя уже стоит ПРОКСИ, всё равно включи как говорится &quot;Оперативкой КОМП не испортишь!&quot;=), ставим галочку на log accepted...указываем файло для сохранения попыток, что-бы не начинать при обрыве связи всё с начала, и совсем забыл (БООТ сектор у меня дырявый видно=) поставим ГАЛКУ в закладке General Options на Auto Save Posichion every 100 attempts!!! </p> <p>Всё, ты готов к ворованию аккаунта. Идём в меню Actions (это там вверху) и жмём GO!!! </p> <p>В заключении хочу сказать что если усё сделано правильно, то должно получится... но надо помнить что разные серваки построены на разный ОС и это может и не заканать. И ещё надо всегда помнить что: ЖАДНОСТЬ ХАКЕРА СГУБИЛА!!! Так что вперёд к новым барьерам (аккаунтам, мылам и т.п.) </p> <p>Удачного тебе ХАКА мой маленький электронный вор!!!=)</p> mybb@mybb.ru (ВоинСвета) Tue, 14 Apr 2009 16:18:59 +0400 http://negryzis.0pk.me/viewtopic.php?pid=54#p54 http://negryzis.0pk.me/viewtopic.php?pid=53#p53 <p>Автор: x-hack team<br />Взято с сайта wwwanonymous.ru</p> <p>Стоит чукча на посту, мимо кто-то проходит, чукча:<br />- пароль?<br />- 123456<br />- проходи<br />Современная версия известного анекдота. </p> <p>Intro </p> <p>В данной статье описываются результаты анализа паролей, которые используют пользователи для доступа к форумам, сайтам, электронной почте. Эти пароли не генерировались системой или назначались администратором, а их задавал сам пользователь при регистрации. </p> <p>По моей просьбе, люди, знакомые по интернету, собрали базу данных для этого исследования. Во время стадии сбора информации в основном использовались уязвимости типа SQL-injection (позволяющие пользователю выполнять любые запросы к базе данных, установленной на сервере), XSS (cross-site-scripting, позволяет взломщику внедрить в страницу свой html-код, что дает возможность украсть cookies администратора и затем подделать сессию), а также простые оплошности системных администраторов, когда из-за неправильной конфигурации сервера базу данных мог просматривать любой человек. </p> <p>В результате этой работы была собрана база данных вида &quot;логин:пароль&quot;, содержащая 52125 записей. Большую часть (42920, 82,3%) из них представляли md5-хэши, остальные (9205, 17,7%) - пароли в виде plain-text (незашифрованные) или пароли, зашифрованные алгоритмами, допускающими построение обратной функции - то есть расшифровку (например base64). Использование в интернет-проекте публичных алгоритмов, позволяющих декриптовать пароль, не дает никакой защиты и, по сути, ничем не лучше хранения паролей в открытом виде. </p> <p>В собранный базе данных есть пароли, заданные пользователями разных наций, но подавляющее большинство приходится на русских (около 40%) и американцев (почти 20%), остальные - в основном европейцы (немцы, поляки, чехи, англичане). Азиатов - единицы. </p> <p>Атака на MD5 </p> <p>После сбора информации для проведения анализа необходимо было взломать хотя бы некоторую часть полученных md5-хэшей. Для тех, кто не сведущ в криптографии или программировании, попытаюсь объяснить суть этого алгоритма. Приведем общее определение хэш-функции - это преобразование, которое позволяет из данных произвольной длины получить некое значение фиксированной длины. Известный пример такой функции - crc32, контрольная сумма файла. Хэш-функции также бывают криптографическими и программистскими. Нас интересует первый вариант. Основными свойствами хэш-функций, применяемых в криптографии, являются необратимость и свободность от коллизий. Необратимость означает, что нельзя разработать алгоритм, который на основе известного хэша позволяет получить исходные данные (грубо говоря, зная хэш пароля, получить сам пароль). Свободность от коллизий - практическую невозможность подобрать два разных исходных аргумента, значение хэш-функции для которых будет одинаковым. MD5 - публичный алгоритм, являющийся криптографической хэш-функцией, поэтому единственный возможный тип атаки на него - зашифровка всех возможных значений пароля и сравнение полученного результата с известным хэшем. Более подробно об алгоритме md5 можно почитать в RFC1321 (wwwfaqs.org/rfcs/rfc1321.html). </p> <p>Для взлома md5-хэшей я использовал программу Passwords Pro v1.2.0.1 (<a href="http://www.InsidePro.com" rel="nofollow" target="_blank">http://www.InsidePro.com</a>). С ее помощью удалось взломать 21249 паролей из 42920 (49,5%). Уже исходя из этих данных можно утверждать, что почти половина всех используемых сейчас паролей - ненадежные. Были подобраны все пароли, длина которых менее 5 символов и все численные пароли, длина которых менее 10 символов. Заявленная разработчкиком скорость для разных процессоров: </p> <p>Intel Pentium-III 1000 MHz ~2,2 миллиона паролей/секунду </p> <p>AMD AthlonXP 1700+ (1466 MHz) ~3,6 миллиона паролей/секунду </p> <p>Intel Pentium-4 2400 MHz ~4,0 миллиона паролей/секунду </p> <p>Реальная скорость перебора для моего компьютера (AMD AthlonXP 1600+) составляла около 3,2 миллионов паролей в секунду для взлома одного пароля и падала приблизительно до 200 тысяч паролей в секунду при одновременном взломе 8000 паролей (это происходит из-за того, что программе необходимо сравнить значение хэш-функции, полученное для проверяемого пароля, со всеми известными хэшами, загруженными в нее). Максимальное время, требующееся для подбора пароля, рассчитывается по следующей формуле: </p> <p>[image] </p> <p>где N - количество символов в наборе, из которого составляется пароль, L - предельная длина пароля, S - число проверок в секунду. Например, если рассчитать по этой формуле время, которое потребуется для перебора всех численных паролей длиной до 9 символов (S=3*106, N=10 (цифры), i=8), то получим всего лишь 37 секунд. </p> <p>Однако метод полного перебора всех возможных комбинаций хорош либо для малого числа символов в наборе, либо для паролей небольшой длины (4-5 символов). Так для перебора на обычном компьютере всех возможных паролей (могут включать 224 печатных символа) максимальной длинной 6 символов уже требуются 490 суток. </p> <p>Кроме атаки полным перебором использовалась атака по словарю, когда возможные пароли не генерируются программой, а берутся из файла-словаря, заранее составленного пользователем. </p> <p>Анализ </p> <p>Из полученной базы были удалены записи, с одинаковыми логинами и паролями. Вероятность того, что эти учетные записи были созданы одним и тем же человеком, довольна мала, но я решил все-таки учесть и ее. В результате всего было проанализировано 30,450 паролей разных пользователей. Для сбора статистики была написана специальная программа, так как обработать вручную такой массив данных не представляется реальным. </p> <p>Популярные пароли. 15 самых популярных паролей и количество пользователей, избравших их, приведено ниже: </p> <p>123456 - 449 пользователей<br />123 - 303 пользователя<br />12345 - 288 пользователя<br />qwerty - 206 пользователей<br />12345678 - 148 пользователей<br />111 - 113 пользователей<br />1234 - 103 пользователя<br />666 - 85 пользователей<br />123321 - 77 пользователей<br />1111 - 77 пользователей<br />111111 - 76 пользователей<br />gfhjkm - 76 пользователей<br />password - 71 пользователь<br />1234567 - 69 пользователей<br />777 - 65 пользователей </p> <p>Более полный список (50 самых популярных) может быть найден в интернете на <a href="http://www.x-hack.ru/Antalos/popular.html." rel="nofollow" target="_blank">http://www.x-hack.ru/Antalos/popular.html.</a> Исходя из этих данных, можно сказать, что в целом за последние время наблюдается упрощение паролей, используемых пользователями. Так, по данным, собранным Solar Designer, в начале 90-х самыми популярными паролями являлись: </p> <p>12345<br />abc123<br />password<br />passwd<br />123456<br />newpass<br />notused<br />Hockey<br />Internet </p> <p>Конечно, приведенные пароли также не надежны, но среди них нет ни одного длиной менее 4 символов или состоящего из одинаковых цифр (111). </p> <p>Логин в пароле. Целых 729 (2%) паролей оказались абсолютно идентичными имени пользователя, не изменялся даже регистр букв (m2t4:m2t4, salavat:salavat). Еще 314 представляли собой различные модификации логина - добавление одной/нескольких цифр в начале или конце (jotum:1jotum, skiz:skiz57); запись всего логина или его части в обратном порядке (chap118:811pahc, zoran58:naroz85); добавление фамилии к имени (korey:koreyblake); запись в другом регистре (dorofeyOROFEY). При желании взломщик может собрать дополнительную информацию о пользователе (благо сделать это не так уж и сложно), и перебрать возможные варианты. Если учесть что в большинстве случаев добавляют сочетания вроде 1, 123 или год рождения, а процесс генерации подобных комбинаций можно автоматизировать, то такие пароли являются небезопасными и могут быть подобраны довольно быстро. </p> <p>Атака по словарю. Большинство пользователей выбирают пароль, который несет какую-то смысловую нагрузку, что позволяет взломщику использовать атаку по словарю - перебор паролей из заранее составленного списка. Как основу для составления такого списка зачастую используют толковые словари языка, также распространена практика составления словарей по художественной литературе. Во втором случае, из книги в электронном формате с помощью специальной программы выбираются все использованные в ней слова, за исключением форм слова в разном числе или падеже. Второй подход считается более продуктивным, так как он позволяет собрать активно используемый лексикон языка, а списки на основе различных словарей получаются большими, но большая часть времени уйдет на проверку вариантов, которые фактически не используются в качестве паролей (специальные термины и т.п.). Также составляют списки наиболее употребляемых паролей, в которые могут входить и числа. </p> <p>Модификация слова (запись в обратном порядке, удвоение, добавление цифр и т.п.) не спасает, так как с помощью написанной за 10 минут программы или готового софта на основе базового словаря можно быстро сгенерировать все эти варианты и проверить. Существуют даже программы, которые заменяют буквы схожими по начертанию цифры (coolpass станет c00lpa55). Так что такие, казалось бы надежные, уловки не приводят к повышению устойчивости используемого пароля. Не думайте, что вы окажетесь умнее взломщика. Если хотите сделать свой пароль неуязвимым к словарной атаке - выбирайте бессмысленные комбинации символов. </p> <p>В моем случае по словарям удалось подобрать 14176 (46,5%) паролей. Как видно, почти половина пользователей выбирает осмысленный пароль. Из этих паролей 6938 (22,8% от всех паролей) были подобраны всего лишь по двум маленьким словарям, в которые входят самые популярные пароли. Приведу краткую статистику по словарям, которые оказались наиболее эффективными (через запятую указано количество слов в словаре, затем число подобранных паролей): </p> <p>популярные пароли, 2153 - 5068<br />более полный словарь популярных паролей, 13958 - 6924<br />названия рок-групп и имена музыкантов, 12340 - 890<br />имена разных народов, 39132 - 1357<br />русские слова, набранные в английской раскладке, 138204 - 1406<br />русские слова, набранные транслитом, 138204 - 1958<br />слова разных народов, 3,162,009- 10685<br />слова разных народов, записанные в обратном порядке, 3,162,009 - 9223 </p> <p>Стоит упомянуть, что по словарю, который использовался червем Морриса (419 слов), было подобрано всего 389 паролей. А в 1988 году этот вирус смог поразить 6200 компьютеров, это еще раз показывает, что наиболее употребляемые пароли изменяются с течением времени. </p> <p>Более полную статистику по использованным словарям можно посмотреть в интернете на <a href="http://x-hack.ru/Antalos/dics.html." rel="nofollow" target="_blank">http://x-hack.ru/Antalos/dics.html.</a> </p> <p>Статистика по длине и составу паролей. В результате анализа пароля по их длине и составу была создана таблица, в которой можно наглядно увидеть наиболее популярные типы паролей. Во второй колонке указывается количество символов в наборе, из которого составлен пароль, что удобно для некоторых расчетов. Так, чтобы вычислить количество паролей определенного типа, необходимо рассчитать число размещений с повторениями, что делается по следующей формуле:<br />P=nr </p> <p>где P - количество размещений (паролей), n - количество элементов множества, из которого осуществляется выборка (символов в наборе), r - число элементов (максимальная длина пароля). </p> <p>длина пароля<br />состав пароля символов<br />в наборе&lt;=3 4 5 6 7 8 &gt;8 сумма %<br />мал. 26 616 1371 2063 4180 2664 2663 768 14325 47,09<br />цифры 10 1003 1747 1309 4712 1441 2289 119 12620 41,48<br />мал.+цифры 36 24 134 314 572 392 623 305 2364 7,77<br />малые+бол. 52 18 59 80 117 67 88 37 466 1,53<br />бол. 26 34 58 37 42 21 17 1 210 0,69<br />мал.+бол.+цифры 62 2 2 4 21 21 43 27 120 0,39<br />мал+спец 58 1 18 21 13 27 18 11 109 0,36<br />кириллица 66 5 8 30 12 12 8 7 82 0,27<br />бол.+цифры 36 1 10 14 15 6 11 10 67 0,22<br />спец.символы 32 13 4 0 2 1 0 0 20 0,07<br />мал+бол+спец 84 0 0 6 3 2 3 1 15 0,05<br />мал+спец+цифры 68 0 3 0 0 1 2 4 10 0,03<br />цифры+спец 42 5 1 0 0 0 2 0 8 0,03<br />мал+бол+сп+циф 94 0 0 0 0 1 0 3 4 0,01<br />бол+спец 58 0 1 0 0 0 0 1 2 0,01<br />сумма 1722 3416 3878 9689 4656 5767 1294 30422<br />% 5,66 11,23 12,75 31,85 15,30 18,96 4,25 </p> <p>Некоторые пояснения - через &quot;мал.&quot; и &quot;бол.&quot; обозначены строчные и прописные латинские буквы соответственно. &quot;Спец.&quot; - спецсимволы (например !@#). В строку кириллица вошли пароли, содержащие в себе символы русского или других национальных алфавитов, но не обязательно полностью состоящие из них (то есть пароль &quot;паroL12&quot; также подпадает под эту графу). В сводную таблицу не вошли 28 паролей, содержащих символы, единственный способ ввода которых - использование дополнительной клавиатуры, для введения символа через его код, например ®. </p> <p>Из приведенной таблицы несложно сделать выводы - самая популярная длинна пароля - 6 символов, состав - малые латинские символы или цифры. Более того, длина 85,6 процентов всех паролей менее 8 символов, а состоят они из малых букв или цифр (в таблице выделены оранжевым). Подсчитаем время, которое необходимо для взлома md5-хэшей таких паролей на локальном компьютере. За среднюю скорость возьмем 3 миллиона вариантов в секунду, тогда по уже известной формуле получим: </p> <p>&#160; &#160; * Для малых букв: 20,109 (часов)<br />&#160; &#160; * Для цифр: 0,01 (часов) </p> <p>То есть, грубо говоря, вероятность того, что вы менее чем за сутки взломаете среднестатистический пароль, зная его md5-хэш, - 85%! </p> <p>Еще несколько фактов. Среди собранных паролей оказались 53 пароля системных администратора (логины admin, administrator, webmaster). На общем фоне их пароли кажутся более надежными, но большая часть уязвима для атаки по словарю. </p> <p>Основные правила, применяемые пользователями, для генерации пароля путем изменения словарного слова или логина: </p> <p>&#160; &#160; * добавление цифры в начале и/или конце пароля (в большинстве случаев - 0,1,…,9; 1,12,123,…; 00,11,…,99; 10,20,…,90; зачастую - год рождения)<br />&#160; &#160; * зеркалирование (matrix=xirtam)<br />&#160; &#160; * умножение слова, возможны разделители (moneymoney; zero-zero)<br />&#160; &#160; * умножение с зеркалированием (pepperreppep)<br />&#160; &#160; * запись в другой раскладке (валера =dfkthf)<br />&#160; &#160; * эксперименты с регистром букв (eXcesS)<br />&#160; &#160; * замена букв на цифры, схожие но начертанию (1slam)<br />&#160; &#160; * запись прямым/обратным транслитом (морж = morzh; billgates = биллгейтс) </p> <p>Возможно применение нескольких правил одновременно, но даже это не дает надежной защиты от атаки по словарю, так как взломщик может модифицировать исходный пароль тем же самым путем. </p> <p>Мне показалось интересным то, что популярные пароли могут изменяться с течением времени. Связано это с несколькими причинами. Популярное в реальной жизни становится распространено и в виртуальной. Так пароль matrix, который в конце 80-х - начале 90-х использовали разве что математики, с выходом одноименного фильма занимает 29 место в списке популярных паролей. Точно также влияют на выбор пароля и известные музыкальные группы (tatu), книги (Pelevin), программы (windows). Еще одним важным фактором является популяризация интернета в целом - в сеть приходит множество новых людей, которые могут и не иметь понятия о компьютерной безопасности. Это приводит к широкому использованию простейших паролей, а следовательно и увеличению числа взломов.<br />Coda </p> <p>Проанализировав довольно большое количество паролей, я хотел бы дать несколько советов, которые, как мне кажутся, помогут вам избежать утечки информации. Многие из них банальны, но как показала практика не соблюдаются в большинстве случаев, поэтому напомнить их будет не лишним. </p> <p>Советы пользователям. Самый важный совет - никогда не используйте одинаковые пароли для доступа к разным системам! Даже если он кажется абсолютно устойчивым и надежным, например V1!2cEqP,@#19r. Взломщик может получить ваш пароль для доступа к одной системе, используя какую-либо уязвимость в ней. И это будет не ваша вина, а вина программистов. Но если он, получив один пароль, сможет получить контроль над всей вашей деятельностью в сети - это будет целиком на вашей совести. </p> <p>Теперь поговорим о выборе пароля. Никогда не используйте пароли, состоящие только из цифр. Количество возможных комбинаций из цифр невелико (при желании - рассчитайте его по формуле) и такой пароль может быть подобран относительно быстро даже при удаленной атаке. Проверьте пароль, используемый вами - если в свободной таблице он попадает в оранжевые ячейки, то можно утверждать, что он не надежен. Ваша цель при создании пароля - достичь максимально разумного числа символов в исходном наборе (используйте разный регистр и специальные символы). Не используйте осмысленные пароли и их модификации. Взломщику не составит большого труда подобрать его. Не думайте, что система блокирования IP-адреса после определенного числа попыток войти в систему с неверным паролем защитит вас - посмотрите список прокси-серверов на <a href="http://samair.ru/proxy/" rel="nofollow" target="_blank">http://samair.ru/proxy/</a> и убедитесь, что это лишь ширма, а не защита. </p> <p>Если ваш пароль ненадежен - смените его сейчас, не ждите, пока кто-нибудь получит доступ к вашей конфиденциальной информации. Вполне возможно, что уже сейчас почта с вашего почтового ящика перенаправляется конкурентам, а вы даже не подозреваете об этом. Очень рекомендуется менять пароли для доступа к важным для вас сервисам хотя бы раз в месяц. </p> <p>Еще один важный аспект защиты - системы восстановления забытых паролей. Многие выбирают вполне достойные пароли, которые не по зубам взломщикам, но оказываются уязвимыми через эти системы. </p> <p>Во-первых, никогда не указывайте несуществующий ящик в качестве альтернативного почтового адреса, на который будет высылаться пароль, - взломщик может воспользоваться этим. Зарегистрировав этот аккаунт на себя, получение вашего пароля будет делом нескольких минут. Во-вторых, очень важным является контрольный вопрос, который позволяет восстановить забытый пароль. Никогда не указывайте в ответе на него свои личные данные (год рождения, кличку собаки, девичью фамилию матери) - взломщик может с легкостью получить эту информацию, используя либо поиск в интернете, либо социальную инженерию. Во втором случае вы или ваши близкие (сослуживцы, родственники) сами с удовольствием раскроете взломщику эту информацию. Идеальным вариантом будет указать в ответе на контрольный вопрос случайный набор символов. </p> <p>Еще несколько банальных советов. Регулярно обновляйте антивирусный софт, установите на ваш компьютер файрвол. Используйте альтернативный браузер (Opera) и почтовый клиент (The Bat!). Львиная доля уязвимостей в ПО, используемых взломщиками, приходится на продукты компании Microsoft. </p> <p>Советы администратору. Введите систему контроля над паролями, которые выбирают пользователи. Лучше всего требовать наличия в нем букв и цифр, причем цифр не в начале или конце пароля, а в середине (хотя это и не убережет от паролей типа pass123pass, но множество глупых паролей будет отсеяно). Ограничивайте минимальную длину пароля хотя бы шестью символами. Не ограничивайте максимальную длину пароля (на мой взгляд, все разумные причины для этого не актуальны на текущей стадии развития аппаратного обеспечения). </p> <p>Продумайте систему восстановления забытых паролей. Я считаю, что восстановление путем ответа на контрольный вопрос - недостаточно надежная схема. Множество паролей взламывается именно через контрольный вопрос. Если вы не хотите потом разбираться, кому на самом деле принадлежит учетная запись, не используйте такую систему. На мой взгляд, хороший метод восстановления пароля - это высылка на указанный при регистрации почтовый ящик. Желательно высылать не старый пароль, а заново сгенерированный. Это поможет избежать шпионажа или действий от лица другого человека, а также взлома аккаунтов пользователя на других системах. </p> <p>В большинстве сетевых приложений сейчас используется аутентификация на базе алгоритма md5, который, хоть и надежен, довольно неустойчив при использовании слабых паролей. Существует разные системы для защиты хэшей, хранящихся в базе данных, от взлома методом грубой силы. Например я встречал такой совет: &quot;храните не весь хэш, а лишь его первые 16 символов, что затруднит атакующему ввод таких &quot;огрызков&quot; в программу для взлома, а вероятность совпадения первых 16 байт для разных паролей довольно мала.&quot; Более того, я встречал такой метод реализованным на практике. Это не самый лучший выход, так как допускает коллизионность паролей, а реальных препятствий взломщику не создает никаких. </p> <p>Самым простым в реализации и дающим защиту от большинства взломщиков мне кажется следующий метод. Храните в базе данных не хэш пароля, а хэш хэша, то есть значение функции md5(md5(password)). При логине пароль просто хэшируется два раза и полученное значение сверяется с хранящимся на сервере. Взломщик же сталкивается с несколькими трудностями. Во-первых ему надо еще определить что это не хэш самого пароля (а с первого взгляда это сделать невозможно - сказывается свойство, по которому результатом работы функции является значение фиксированной длинны). Во-вторых - публичных программ для взлома такого типа не существует. Придется или разрабатывать свою программу или идти на какие-либо ухищрения. Это даст защиту от взломщиков-киддисов (а их сейчас большинство), которые используют программы, разработанные другими, и уязвимости, найденные не ими. Можно пойти дальше и хранить пароль, хэшированный не два, а три или более раза. В этом случае еще и существенно замедляется скорость локального перебора паролей. </p> <p>P.S. Все примеры паролей, приведенные в статье - реальные.</p> mybb@mybb.ru (ВоинСвета) Tue, 14 Apr 2009 16:16:05 +0400 http://negryzis.0pk.me/viewtopic.php?pid=53#p53 http://negryzis.0pk.me/viewtopic.php?pid=48#p48 <p>Если ты всёже решил не регистрироваться напиши почему и я постораюсь прислушаться к твоему мнению</p> mybb@mybb.ru (ВоинСвета) Mon, 06 Apr 2009 15:54:19 +0400 http://negryzis.0pk.me/viewtopic.php?pid=48#p48 http://negryzis.0pk.me/viewtopic.php?pid=47#p47 <p>Чего ты боишься?<br />Слать всякий спам тебе на почту я не буду, денег за регистрацию мы тоже не берём.<br />Отказываясь от регистрации ты рискуешь потерять шанс стать успешным веб-мастером.<br />&#160; &#160; &#160; &#160; &#160; &#160;РЕШАТЬ ТЕБЕ</p> mybb@mybb.ru (ВоинСвета) Mon, 06 Apr 2009 13:07:24 +0400 http://negryzis.0pk.me/viewtopic.php?pid=47#p47 http://negryzis.0pk.me/viewtopic.php?pid=46#p46 <p>ВСе пользователи могут объмениваться своими кнопками и реферальными ссылками, что тоже приносит определённные плоды!<br />Отказавшись от регистрации ты можешь потерять шанс раскрутить свой сайт и заработать на этом камитал!!!</p> mybb@mybb.ru (ВоинСвета) Mon, 06 Apr 2009 13:00:57 +0400 http://negryzis.0pk.me/viewtopic.php?pid=46#p46 http://negryzis.0pk.me/viewtopic.php?pid=43#p43 <p>ДА.....................<br />А у моей девки тож почту украли два дня назад. А месяц назад аккуант в одноклассниках. Одно слово баба....... :flag:</p> mybb@mybb.ru (ZORRO) Sun, 05 Apr 2009 14:38:21 +0400 http://negryzis.0pk.me/viewtopic.php?pid=43#p43 http://negryzis.0pk.me/viewtopic.php?pid=41#p41 <p>Ну ты конечно написал!!!!!!!!!!!<br />Не то что бы совсем п...ц, но подробно так уж точно.<br />Уважаю хорошие статьи не зря тебя модером поставил</p> mybb@mybb.ru (ВоинСвета) Sun, 05 Apr 2009 11:50:55 +0400 http://negryzis.0pk.me/viewtopic.php?pid=41#p41 http://negryzis.0pk.me/viewtopic.php?pid=33#p33 <p>В этой теме спрашиваете всё что Вам не ясно <br />Создавать новую тему с аналогичным названием не советую!!!!!!</p> mybb@mybb.ru (ВоинСвета) Fri, 03 Apr 2009 18:19:59 +0400 http://negryzis.0pk.me/viewtopic.php?pid=33#p33