Откуда берутся базы с login:pass тогда как на практике лишь повсеместно и дофига встречаются login:hash ?

[xleaknn]

Какой-то из PHPшной тусы. У вордпрессов тоже часто бывает, вот этот $P$.

ну... количество как правило это если md5
но бывает там и вот такое например $P$BJXPzny2AprwZrd.OfsyWGpf37Prg1/ - что это за зверь? hashes.com - затруднился ответить что это такое...

 

[zdestuta]

Вот, где словари и рекомбинация ну очень роляют.

словарики с https://weakpass.com/wordlists - они как?

 

[xleaknn]

Да так то относительная норма, но мне предельно в этом нюансе наплевать обычно, я сшил один из кучки, продедублировал его, и у меня теперь там 0.4ккк+- строк. В нем и плаваю.

словарики с https://weakpass.com/wordlists - они как?

 

[zdestuta]

Какой-то из PHPшной тусы. У вордпрессов тоже часто бывает, вот этот $P$.

да. это из экспортов, причём экспортов woocommerce я так понял, руки не дошли посмотреть ещё, а так таких экспортов очень легко как надоркать так и нафаззить, они (ржака) лежат имена файлов ну очень предсказуемые, это надо быть очень одарённым чтоб таким экспортом пользоваться, но почему-то очень распространено, десятками в день можно добывать и там несколько тысяч записей обычно, вот с такими вот хэшами паролей...

 

[zdestuta]

Да так то относительная норма, но мне предельно в этом нюансе наплевать обычно, я сшил один из кучки, продедублировал его, и у меня теперь там 0.4ккк+- строк. В нем и плаваю.

но чудес то не бывает и одно дело один хэш (админа например) ломать, а другое дело "пачкой" тысячи хэшей - на электричестве раньше кмк разоришься , а если на юге то от жары от GPU помереть наверное можно

 

[xleaknn]

но чудес то не бывает и одно дело один хэш (админа например) ломать, а другое дело "пачкой" тысячи хэшей - на электричестве раньше кмк разоришься , а если на юге то от жары от GPU помереть наверное можно

Использую физический сервер с GPU.

 

[etc/passwd]

ну... количество как правило это если md5
но бывает там и вот такое например $P$BJXPzny2AprwZrd.OfsyWGpf37Prg1/ - что это за зверь? hashes.com - затруднился ответить что это такое...

wordpress в хэшкат -m 400 (если память не изменяет)
Очень много сайтов используют md5, просто не там смотришь)

 

[zdestuta]

Использую физический сервер с GPU.

ну это понятно что железяку, а не QEMU эмуляцию GPU
но разница есть ты даже вот md5 ломаешь 1, 10, 100, 10k и т.д. в списке на дехэш, хэшкат на GPU не вот "параллелит" их и соответственно от длины списка хэшей на взлом - время тоже увеличивается (может и не так линейно конечно), а не только от длины списка паролей, я вот об этом хотел сказать.

 

[Nick Diesel]

Та стопудово не дехэш мутят ребятки.
Тогда овчинка выделки не стоила бы (как по мне) + а где же покупатели, которые брутят и забрали бы, вот такие штуковины

Какой-то из PHPшной тусы. У вордпрессов тоже часто бывает, вот этот $P$.

Но у меня купил один китаёза = материл меня и пришлось его задабривать.
Не спорю, может быть какой-то малый процент брутит (который только на крипту всякую гоняет).
Поэтому подпишусь на сабж, может кто-то просвятит нас всех.

 

[xleaknn]

Та стопудово не дехэш мутят ребятки.
Тогда овчинка выделки не стоила бы (как по мне) + а где же покупатели, которые брутят и забрали бы, вот такие штуковины

Но у меня купил один китаёза = материл меня и пришлось его задабривать.
Не спорю, может быть какой-то малый процент брутит (который только на крипту всякую гоняет).
Поэтому подпишусь на сабж, может кто-то просвятит нас всех.

Ты прав на самом деле, брутит очень малое количество людей. У кого есть навык и железо - как минимум, свой ПК жарить не хочется + не у всех GPU мощности реактора. Так что, остальные варианты, мной описанные - в путь).

 

[Theriella]

Брутят хэши с дампов , это факт, эта целая индустрия , кто знает дальнейшую реализацию, тот понимает про что я пишу.
Любой дамп , в более менее хорошем сервисе, конечно будут пасы в хэшах, их брутят.
А кто-то берёт и соединяет пасы слитые уже старые с почтами, и делает комбо пасов уже старых , на новые и брутят сервисы.

Та стопудово не дехэш мутят ребятки.

дэхеш делают , md5 точно, да и другие хэши, зависит от того, что и как делается, всю схему и ещё профиты, никто не сольёт, а база везде одинаковая, но подход разный

зависит от целей всё, задач и что делается, понятное дело ради профита, но хэши брутят, с дампов это вообще база так-то 10000%, у меня много партнёров кто занимается этой сферой с 2018-2017 года, я уже наизусть знаю как это устроено сам

так что хэши точно есть смысл брутить, китайцы очень сильно любят такое , а далее уже знают куда идёт и на что)

 

[xleaknn]

Все правильно). Про рынок свой у брутеров я и сам слышал не раз).

Брутят хэши с дампов , это факт, эта целая индустрия , кто знает дальнейшую реализацию, тот понимает про что я пишу.
Любой дамп , в более менее хорошем сервисе, конечно будут пасы в хэшах, их брутят.
А кто-то берёт и соединяет пасы слитые уже старые с почтами, и делает комбо пасов уже старых , на новые и брутят сервисы.



дэхеш делают , md5 точно, да и другие хэши, зависит от того, что и как делается, всю схему и ещё профиты, никто не сольёт, а база везде одинаковая, но подход разный

зависит от целей всё, задач и что делается, понятное дело ради профита, но хэши брутят, с дампов это вообще база так-то 10000%, у меня много партнёров кто занимается этой сферой с 2018-2017 года, я уже наизусть знаю как это устроено сам

так что хэши точно есть смысл брутить, китайцы очень сильно любят такое , а далее уже знают куда идёт и на что)

 

[Guron_18]

Данные авторизации берутся в основном из взломанных дампов. К ним относится sql-inj, бекапы, стилеры, обиженые сотрудники и т.д.

Откуда берут логины?
Со слитых дампов, с колонок username, login, так же за логин может зайти номер телефона.
Со стилеров, вместе с паролями.
Как вариант обрезают часть email до символа @ (собаки). Этот способ называют генеркой (генерируют логин из email)

Откуда берут пароли?
Основная часть паролей в паблике, это расшифрованные хеши. Да почти все, что в паблике это просто прогнанные массово хеши, через хешкот. Тут не надо быть гением или иметь ТОП железо, достаточно иметь любую видеокарту и более, менее нормальтный словарь, вроде rockyou.

Можно залить на специальный сервис или форум где хеши или дамп расшифруют за тебя заинтересованные люди, либо энтузиасты.

Очень редко, хранящиеся в дампах - в открытом виде.

Так же пароли берут в стилерах (перед отправкой на гейт, стилеры дешифруют пароли, хранимые в браузерах в открытый вид)

 

[Guron_18]

Держи бесплатный лайфхак от гуроши.
Береш любой дамп с хешами.
Идешь на хер сайт, либо находишь уже расшифрованные, либо закидываешь туда хеши именно с этого дампа.

Дальше качаешь уже найденые специально для тебя, специально под твой дамп, найденые пароли в открытом виде.
И как подарок на НГ, ты используешь 100% найденые пароли как словарь у себя на говно-железе за буквально минуту.

 

[m0nst3r]

нет, дорогой мой, каков вопрос - таков ответ. Сейчас , после уточнения, я лучше понимаю о чем ты, а ранее - заметь, отписались же тебе не дураки, думала слово в слово со всеми ответами в топике.
Тоже удивилась, почему непонятны простые вещи.

По сабжу. Мое, очень скромное, возможно неверное, мнение - пароли и иные данные в плэйн текст могут хранить не владельцы cms - там то как раз всегда хэши, а собственники крупных сервисов - а-ля мэйл ру, возможно аффилирированных с госструктурами, в качестве бэкапов в больших распределенных БД.

два примера навскидку:

• когда то были слиты миллионы аккаунтов ...или мэйл ру, или рамблер - но именно с исходными паролями,
• как проверяет гугл (так было когда то) исходный, забытый пароль, когда просит написать похожий?))

Сравнивать то он будет не хеши, которые "разбегутся" от малейшего шевеления, а исходники. В свое время я на минутку об этом задумалась, но..

мысль интересная, но мне кажеться что ради такого функционала очень маловероятно что гугл хранит открытые пароли, все же это большой лишний риск который никто не согласует внутри просто так, логиниться в аккаунты думаю тоже маловероятно что кому-то нужно там, скорее всего у них есть какой-то условно вариант сравнения уже преобразованных значений(по вектору например, хз я не математик) от которого они отталкиваються в момент сопоставления

 

[lisa99]

мысль интересная, но мне кажеться что ради такого функционала очень маловероятно что гугл хранит открытые пароли, все же это большой лишний риск который никто не согласует внутри просто так, логиниться в аккаунты думаю тоже маловероятно что кому-то нужно там, скорее всего у них есть какой-то условно вариант сравнения уже преобразованных значений(по вектору например, хз я не математик) от которого они отталкиваються в момент сопоставления

1)https://habr.com/ru/articles/235949/
слиты миллионы данных аккаунтов яндкса - логин-пароль.
а потом 4,5 млн мэйл ру,
свежих на то время и во многом валидных.

Сегодня на одном довольно широко известном ресурсе разместили базу email адресов с паролями от почтовых ящиков «Яндекса». База представляет собой текстовый документ, в котором заявлено 1 млн позиций.

С удивлением обнаружил там один из своих, и хотя пароль не был космической сложности, уж точно не для брута и словарей.

Когда именно, и по какой причине данная база утекла в сеть, остается неизвестным. В комментариях народ пишет, что из первых попавшихся 10 яшиков как минимум 8 являются на настоящий момент валидными.

14 год и яндекс, но что мешает повторить хранение плэйн текста в Албании в 2025? ("своя рука владыка")


2) я не знаю как конкретно, по какой маске мог проверять гугл "похожий пароль, который вы помните", но я знаю эффект лавины в криптографии
sha256 ("мой пароль 12345")=1a172b4ff9aea981b03d2edd6747ba96fb680f8b5c5efc3ff82bcc3fc0e876b0
sha256 ("мой пароль 123456")=031adf9ba782d9888bb83cf8ba8a5174ab5bbdef6638270deed018ef91e2a091

мб использовали разбиения, децентрализацию....Но все же.

 

[etc/passwd]

1)https://habr.com/ru/articles/235949/
слиты миллионы данных аккаунтов яндкса - логин-пароль.
а потом 4,5 млн мэйл ру,
свежих на то время и во многом валидных.



14 год и яндекс, но что мешает повторить хранение плэйн текста в Албании в 2025? ("своя рука владыка")


2) я не знаю как конкретно, по какой маске мог проверять гугл "похожий пароль, который вы помните", но я знаю эффект лавины в криптографии
sha256 ("мой пароль 12345")=1a172b4ff9aea981b03d2edd6747ba96fb680f8b5c5efc3ff82bcc3fc0e876b0
sha256 ("мой пароль 123456")=031adf9ba782d9888bb83cf8ba8a5174ab5bbdef6638270deed018ef91e2a091

мб использовали разбиения, децентрализацию....Но все же.

От части ты права. Были грехи у крупных компаний хранить пароли в открытом виде. (рамблер, ВК).
Но то, что привела в пример была не утечка, а просто брут/переделка баз, а так же дампы мелких сайтов, пароли от которых подходили к почтам.

Насчет гугла. Что им мешает сделать свой алгоритм шифрования и хранить уже в БД зашифрованые и самим расшифровывать для проверки "похожести" пароля ?
Даже если злоумышленик получит БД гугла, без исходных кодов это просто лишние гигабайты занятого места на ПК.

 

[lisa99]

Даже если злоумышленик получит БД гугла, без исходных кодов

да, видимо так - прикрыться какими то алгоритмами, распределить по разным бд, отделить от кода но сохранить возможность сравнения.

И ответ 2тс - пересечения баз, то есть поиск по уже дешифрованным паролям - так объясняли огромные базы ULP во времена скандальных утечек в паблик

 

[Litara_B]

Как по мне- то хеш пасс всегда ценнее пасса без хеша. Шанс уже отработанного материала всегда ниже. Есть прекрасные ресурсы как и за беслпатно так и платно расшифруют что смогут) В общем подитожу, мыло:хеш- это хорошо а не плохо) Естественно если оно не в бикрипте и прочем неломаемом говне((

 

[vernicel]

Как по мне- то хеш пасс всегда ценнее пасса без хеша. Шанс уже отработанного материала всегда ниже. Есть прекрасные ресурсы как и за беслпатно так и платно расшифруют что смогут) В общем подитожу, мыло:хеш- это хорошо а не плохо) Естественно если оно не в бикрипте и прочем неломаемом говне((

А если посмотреть в другую сторону: ты нашел базу mail:hash, потратил время/силы/ресурсы/деньги на ее расшифровку и она уже отработана(((
Наличие самих хешей же не говорит о том, что ее (базу) до тебя никто не видел. Это лишь приносит дополнительные нюансы, как по мне))