Domanda Brute force | discussione approfondita

  • Autore discussione Utente cancellato 275505
  • Data d'inizio
Stato
Discussione chiusa ad ulteriori risposte.
U

Utente cancellato 275505

Ultima modifica da un moderatore:
In rete possiamo trovare tutorial di BruteForce convenzionali e questo potrebbe bastare per azionarne uno.
Per quanto riguarda nello specifico quelli su Instagram però avremmo un problema:

- Instagram bloccherebbe l'attacco dopo un tot di tentativi -

Quind sarebbe necessario riprendere l'operazione ogni tot.

1-E' possibile in qualche modo (VPN,Proxy ad esempio) trovare un BF in rete già scritto che cambi IP ogni qualvolta venga stoppato e di conseguenza non blocchi l'esecuzione?

Aprendo invece una parentesi sulla preparazione del file .txt da usare:

2-Se l'attaccante ha già in mente in maniera approssimativa le varie combinazioni di simboli, lettere e numeri da usare in maniera combinatoria cosa potrebbe usare per generare il file .txt in modo che vengano fuori meno combinazioni e quindi l'attacco sia più veloce?
 
2-Se l'attaccante ha già in mente in maniera approssimativa le varie combinazioni di simboli, lettere e numeri da usare in maniera combinatoria cosa potrebbe usare per generare il file .txt in modo che vengano fuori meno combinazioni e quindi l'attacco sia più veloce?
john-the-ripper, permette di generare un dizionario partendo da uno pre-esistente utilizzando diverse rules customizzabili:

Per quanto riguarda la prima domadan non ho idea
 
1-E' possibile in qualche modo (VPN,Proxy ad esempio) trovare un BF in rete già scritto che cambi IP ogni qualvolta venga stoppato e di conseguenza non blocchi l'esecuzione?
Con un attacco bruteforce, visto che questo è il titolo della discussione e questo è ciò che hai citato in questa domanda, sicuramente no. Anche immaginando uno scenario prossimo ai limiti fisici e un sistema di sicurezza quasi nullo, il tuo attacco bruteforce si trasformerebbe in qualcosa di molto più simile ad un attacco ddos. Se non vuoi ammazzare i server di Facebook l'alternativa, sempre bruteforce, sarebbe quella di mantenere sotto controllo il numero il numero di pacchetti al secondo, ma in questo caso eh... per quanto tu possa vivere a lungo, sarai morto molto prima di scoprire la password.

Comunque devo ammettere che sono rimasto un po' deluso quando ho letto: "to create a strong password, use a combination of at least 6 numbers, letters and punctuation marks (like ! and %)". Una password di 6 caratteri è insicura e non ho idea del perché siano così tanto permissivi. Ho evitato di riportare stime sui tempi sui tempi proprio per questo.

2-Se l'attaccante ha già in mente in maniera approssimativa le varie combinazioni di simboli, lettere e numeri da usare in maniera combinatoria cosa potrebbe usare per generare il file .txt in modo che vengano fuori meno combinazioni e quindi l'attacco sia più veloce?
Anche un'informazione apparentemente banale sulla password può far crollare drasticamente i tempi di calcolo. Basta sorprendentemente poco per passare "qualche secolo" a "qualche giorno".
 
  • Mi piace
Reazioni: Psychonaut e 0xbro
Con un attacco bruteforce, visto che questo è il titolo della discussione e questo è ciò che hai citato in questa domanda, sicuramente no. Anche immaginando uno scenario prossimo ai limiti fisici e un sistema di sicurezza quasi nullo, il tuo attacco bruteforce si trasformerebbe in qualcosa di molto più simile ad un attacco ddos. Se non vuoi ammazzare i server di Facebook l'alternativa, sempre bruteforce, sarebbe quella di mantenere sotto controllo il numero il numero di pacchetti al secondo, ma in questo caso eh... per quanto tu possa vivere a lungo, sarai morto molto prima di scoprire la password.

Comunque devo ammettere che sono rimasto un po' deluso quando ho letto: "to create a strong password, use a combination of at least 6 numbers, letters and punctuation marks (like ! and %)". Una password di 6 caratteri è insicura e non ho idea del perché siano così tanto permissivi. Ho evitato di riportare stime sui tempi sui tempi proprio per questo.


Anche un'informazione apparentemente banale sulla password può far crollare drasticamente i tempi di calcolo. Basta sorprendentemente poco per passare "qualche secolo" a "qualche giorno".
Ho già delle informazione dettagliate sulla psw che sono riuscito ad origliare in una derminata situazione.
Il problema resta che instagram blocca il brute-force ogni 1% quindi mi servirebbe qualcosa che riesca a risolvere questo problemino per far filar via l'attacco, attendo aggiornamenti se possibili; grazie!
 
usare le mani no eh?
non credo che in rete si possano trovare programmi o script di questo genere, questo non vuol dire che non possano essere scritti, a questo punto provale a mano no? usa una VPN e quando il tuo ip raggiunge il limite massimo di richieste cambi IP e riprovi, la soluzione più facile e comoda è questa, almeno nelle tue condizioni.
 
Stato
Discussione chiusa ad ulteriori risposte.