Многие заказчики наших пентестов думают, что подобрать пароль из 8-12 символов, это сложно и долго. Но это заблуждение.
⠀
За последние несколько лет технологии развились настолько, что огромные вычислительные мощности стали доступными для многих. Например, если злоумышленнику удалось получить базу хешей с паролями, то для их перебора в автоматическом режиме он может использовать «ферму», такую же, как используют майнеры для добычи криптовалюты.
⠀
Недавно мы приобрели себе такую ферму для решения сложных математических задач в рамках своего продукта — Continious Vulnerability Monitoring (CVM). Ферму мы в основном используем для обучения (deep learning) нашей нейронной сети с вычислением функций максимизации через множество различных производных.
⠀
Но это не помешало нам опробовать ферму для перебора базы хешей ntds, выгруженной с домен-контроллера, в одном из текущих пентест-проектов. Скорость перебора хешей на такой ферме впечатляет — порядка 132 миллиарда хешей в секунду.
⠀
Это позволяет подобрать практически все пользовательские пароли, состоящие из слов, комбинации слов или цифр примерно за доли секунды. Использовать различные методики перебора со сложными мутациями.
⠀
Если ваш пароль состоит из нескольких слов, пусть даже самых экзотических, дополнительных букв или цифр — это не гарантия безопасности. Используйте по-настоящему сложные пароли и различные дополнительные меры защиты, например, второй фактор. Видеокарты стремительно дешевеют во всем мире. Кто знает, что использует злоумышленник против вас?
