Combinator Aanval Uitgebreide bediening

Projectreferentiedocument Time2Crack
Ontvangers: ontwikkelaars, security onderzoekers, geavanceerde gebruikers

Inhoud

  • Overzicht
  • Historische en academische achtergrond
  • Stichtingen: samensmelting van waarschijnlijke tokens
  • Architectuur van een moderne combinator aanval
  • Combinator vs wachtwoordzin robuust
  • Uitvoering in Time2Crack: addCombinatorAttacks()
  • Keyspace combinator in Time2Crack
  • Kalibratie en prioritering
  • Benchmarks en orden van grootte
  • Concrete voorbeelden
  • Grenzen voor combinatieaanval
  • Doeltreffende verdediging
  • Referenties

    • 1. Overzicht

    De concatenous combinator aanval van woordenboek items om samengestelde kandidaten te produceren (mot1+mot2Het richt zich specifiek op korte wachtwoorden van gewone woorden.

    2. Historische en academische achtergrond

    Woordenlijsten uit lekken hebben aangetoond dat veel van de korte menselijke wachtwoorden vertrouwen op gemeenschappelijke woorden gecombineerd. Combinator motoren zijn standaard bakstenen van hashcat campagnes geworden.

    3. Stichtingen: samensmelting van waarschijnlijke tokens

    Als A en B twee reeksen woorden zijn, is de nominale ruimte |A| * |B|De winst komt van probabilistische dichtheid: frequente menselijke combinaties worden vroeg getest.

    4. Architectuur van een moderne combinator aanval

    1) Sélection de listes (mots courants, prénoms, contexte)
2) Tri par fréquence
3) Concaténation ordonnée (A+B, parfois B+A)
4) Ajout optionnel de règles simples
5) Test hash GPU

    5. Combinator vs. robuuste wachtwoordzin

    Twee woorden blijven kwetsbaar.

    Een robuuste wachtwoordzin combineert een aantal zeldzame en niet-correlerende woorden, ideaal willekeurig gegenereerd.

    6. Uitvoering in Time2Crack: addCombinatorAttacks()

    Activering wanneer:

  • of common,
  • of weak.

    • Categorie: cat: "combi", noot: nPassphrase of nNotPassphrase.

    7. Sleutelruimte combinator in Time2Crack

    Het model gebruikt COMBI_KEYSPACE en budgetTime(...), met specifieke tak voor bepaalde gemeenschappelijke gevallen.

    8. Kalibratie en prioritering

    In hoge trouw, de combinator categorie wordt voorkeur wanneer de wachtwoordzin structuur wordt gedetecteerd.

    9. Benchmarks en orden van grootte

    Op hash snel, frequente combinaties kunnen zeer snel worden getest.

    Bij trage KDF, de kosten van elke poging vertraagt de aanval, maar verwijdert niet structurele kwetsbaarheid.

    10. Praktische voorbeelden

  • bluesky : Combinator presentatie.
  • horsebattery : onthult zo vaak woorden.
  • fjord-nectar-lotus-amber : duidelijk meer bestand.

    • 11. Beperkingen van de Combinatoraanval

  • lage prestaties op niet-lexicale geheimen,
  • afhankelijkheid van originele woordenboeken;
  • de opbrengst daalt bij lange en zeldzame wachtwoordzinnen.

    • 12. Doeltreffende verdediging

  • Lange passages van zeldzame woorden.
  • Willekeurige generatie via manager.
  • Moderne KDF + MFA.

    • 13.

  • Hashcat Wiki, https://hashcat.net/wiki/
  • Weir et al. (2009). IEEE S&P.
  • Recente literatuur over wachtwoordzinnen en probabilistische modellen (zie Time2Crack docs).