banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận thâm nhập Dictionary Attack và Brute Force attack - Vietnamese Password Dict  XML
  [Article]   Dictionary Attack và Brute Force attack - Vietnamese Password Dict 29/06/2013 02:42:08 (+0700) | #1 | 276980
[Avatar]
xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]
Dictionary Attack và Brute Force attack - Vietnamese Password Dictionary Attack

Bài viết này sẽ nói về một tham vọng nho nhỏ là tổ hợp bộ từ điển password tiếng Việt. Cũng như nói sơ qua về Password Dictionary Attack với Password Brute Force Attack

Dictionary Attack và Brute Force attack

Đầu tiên cần có chút phân biệt nho nhỏ giữa 2 kiểu tấn công nhắm vào mật khẩu này. Nhưng trước nhất chúng ta nên nói sơ qua về password ( tôi không dùng từ Mật Khẩu vì từ này sai tét bét ).

Password mà tôi nói tới ở đây thường là một chuỗi tổ hợp ký tự có độ dài giới hạn bao gồm tất cả các ký tự mà bảng mã ký tự lớn nhất hành tinh hiện nay có thể đánh mã số - bảng mã Unicode. Sức mạnh của password nằm ở 2 điểm

- Chỉ một hoặc một số ít người biết nội dung ( tổ hợp ký tự được dùng ) làm password. Điều này đem tới thứ lợi ích đầu tiên là “bí mật”
- Nếu một người không biết nội dung của password thì buộc phải dí dao vào cổ thằng có password để đòi hoặc buộc sẽ phải đoán. Tức là phải tốn công sức ở một mức độ nào đó để lấy được Password. Điều này đem đến lợi ích thứ 2 “bảo mật”

Theo như điểm thứ 2 ở trên thì chúng ta hình thành được 2 con đường để phá vỡ lợi ích “bảo mật” ( bảo vệ bí mật ) của password

- Dí dao lấy password từ thằng có password. Dĩ nhiên là tôi nói đùa đấy, đây là cách nói cụ thể cho hướng lấy password từ chính người có nó, thông qua tấn công APT, nghe lén, keylogging… Tuy nhiên nếu như người có password là người không dễ để có thể lấy được password, ví dụ: không thể dí dao vào cổ Tổng Thống Mỹ để lấy password ( bạn sẽ bị phơ ngay 1 viên kẹo ), hoặc attack vào máy tính của một chuyên gia bảo mật am tường ( kiểu như lão mrro, gamma95 ) bạn sẽ bị phản “damage” nếu thử attack họ ( ví dụ stl chơi dại khi đụng vào anh TQN )
- Đoán mò password. Đúng bạn phải “đoán” và “mò” password
Tôi sẽ nói rõ hơn về vụ “đoán” và “mò” password này. Đây là 2 động từ tiếng Việt của 2 phương pháp kỹ thuật tấn công password dưới đây
- Đoán: Dictionary Attack
- Mò: Brute Force Attack

Brute Force Attack:

Tôi sẽ nói về cái này trước. Đây là kiểu tấn công mà bạn sẽ “mò” tất cả các tổ hợp ký tự có thể là password cho đến khi có một tổ hợp ký tự trùng khớp với tổ hợp ký tự được dùng làm password. Phương pháp tấn công này giúp ta thấy rõ được điểm mạnh cốt lõi của password.

Password là bí mật, không ai biết được nó có độ dài bao nhiêu và tổ hợp từ những ký tự gì ngoài người sở hữu nó

Người tấn công về mặt lý thuyết buộc phải thử “tất cả” các trường hợp có thể có của tổ hợp ký tự cho đến khi tìm ra tổ hợp đúng. Chính cái “tất cả” này làm cho password an toàn. Do năng lực tính toán là có “giới hạn” nên việc “mò” hết “tất cả” các tổ hợp sẽ tốn 1 thứ là “thời gian”. Nếu một password có thể đẩy việc mò ra nó tới một thời gian xa xôi trong tương lai ( tính bằng ngàn năm ) thì coi như nó thắng người tấn công vì người đó không thể chờ tới lúc mò ra được password.

Để đẩy việc “mò” password tới một thời gian xa xôi trong tương lai người ta có 2 cách, dựa trên 2 thành tố cơ bản tạo thành password: độ dài password và độ dài bảng ký tự được sử dụng.

Ví dụ:

Với một bảng ký tự như sau:
Code:
abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789

ta có tất cả 65 ký tự

Ta tạo thành một mật khẩu: Hvaonline2013

Có độ dài là 13 ký tự

Vậy tôi có 369,720,589,101,871,000,000,000 tổ hợp
Giả sử tôi có một máy tính với khả năng tạo 80,000,000 tổ hợp ký tự trên 1 giây. Thì tôi cần
Code:
4,621,507,363,773,390 second (hoặc)
77,025,122,729,557 minutes (hoặc)
1,283,752,045,493 hours (hoặc)
53,489,668,562 days (hoặc)
1,782,988,952 months (hoặc)
148,582,413 years

Rất nhiều thiên niên kỷ trôi qua để làm công việc này. Do đó password này đạt được thứ lợi ích là “bảo mật”

( Hãy nhớ các con số phía trên tôi tính, để lát nữa bạn thấy một điểm yếu khác của password khiến password có thể bị phá vỡ nhanh hơn trên kia. Bên cạnh đó tôi có viết một bài về cách tính số tổ hợp ký tự tại đây http://xnohat.blogspot.com/2011/06/cach-tinh-so-to-hop-mat-khau-can-phai.html )

Tóm lại, với kiểu tấn công Brute force password tôi sẽ chết già trước khi mò các mật khẩu có độ dài lớn. Và các password sẽ an toàn trước tôi.

Tuy nhiên đời không như là mơ !

Dictionary Attack:

Vấn đề của Brute Force Attack là việc “mò” hết “tất cả” các tổ hợp làm tôi “mất thời gian”. Thể nên kỹ thuật Dictionary Attack ra đời. Kỹ thuật này thay hành động “mò” vô tội vạ bằng hành động “đoán” có tính toán.
Bạn có thể hiểu sơ sơ về phương thức tấn công này dựa vào cái tên của chính nó “Dictionary” tức “từ điển”, hay nói ngắn gọn bạn có một danh sách các tổ hợp ký tự có “khả năng cao” là password rồi mang dò coi trong cái danh sách đó có cái nào là password không.

Từ khóa trong đoạn trên là “khả năng”. Chính xác thứ làm cho phương pháp tấn công này trở nên yếu ớt trước password là “khả năng” password nằm trong cái danh sách ( từ điển ) của bạn là “giới hạn”. Vì nếu bạn có một danh sách quá dài, “thời gian” để bạn dò hết danh sách đó cũng sẽ khiến bạn thua cái password nếu nó đẩy bạn tới một giới hạn thời gian xa xôi trong tương lai. Do đó việc cần làm ở đây là “đoán” về “cấu trúc” của password rồi từ đó hình thành một từ điển “ngắn gọn hơn” và có “khả năng cao hơn”. Ví dụ một số điểm có thể được coi là thành phần cấu trúc của password:

- Password có thể hình thành từ một cụm từ có nghĩa trong một ngôn ngữ cụ thể: Password có thể là một cụm từ tiếng Việt chẳng hạn, ví dụ: phucdeptrai
- Password có thể được đặt theo một thói quen: kiểu như 123456789, 987654321, 123456, 1234567, 12345678, matkhau, password, admin …
- Thành phần của password được hình thành theo một khuôn mẫu: ví dụ Xuanthanh2503
Bằng việc dựa vào các khuôn mẫu nêu trên kèm với việc điều tra tính cách cá nhân người tạo Password, tôi có thể giới hạn danh sách password xuống thành một cái list khá gọn hơn. Ví dụ tôi nhận định một cái list tương đối phù hợp cho người Việt Nam sẽ bao gồm:

- Ngôn ngữ: tiếng Việt
- Tổ hợp từ có nghĩa
- Số từ trong mật khẩu: 2 hoặc 3
- Theo như tôi thống kê từ khá nhiều DB tôi tiếp cận được ( trong qua trình nghiên cứu, các DB này do các hacker vứt bừa bãi trên các diễn đàn mạng, tôi down về phân tích ). Các password được coi là “mạnh” ở Việt Nam thường có dạng:
+ Cụm 2-3 tự tiếng Việt có nghĩa
+ Chữ cái đầu viết hoa – 2 từ tiếng Việt có nghĩa – từ 3 đến 4 chữ số
+ Ký tự @#$! - Chữ cái đầu viết hoa – 2 từ tiếng Việt có nghĩa – từ 3 đến 4 chữ số - Ký tự @#$!

Với sự giới hạn lại trong các khuôn mẫu tôi cho rằng ( khá chủ quan ) khả năng password nằm trong danh sách của tôi đối với trường hợp người Việt tạo password là cao

Một số tính toán:

Tôi có một danh sách 1556 từ tiếng Việt đơn

Password dự trù theo dạng Cụm 2-3 “từ” tiếng Việt có nghĩa thì tôi có tổng cộng

3,767,287,616 tổ hợp “từ”

Bạn sẽ thấy sự khác biệt ở đây là tôi có 3,767,287,616 tổ hợp “từ” chứ không phải tổ hợp “ký tự”, mà từ thì có thể dài tới 21 ký tự trong trường hợp password có 3 chữ “nghieng” ( từ dài nhất trong tiếng Việt )
Cũng với máy tính với sức tính toán như trên chúng ta sẽ cần:

Code:
Alphabe Table	1,556	(Word, no number)	
Password length	3		
Total combination	3,767,287,616		
			
Computing Power	80,000,000	hash/s	
Time	47	second	(or)
	1	minutes (or)
	0	hours	(or)
	0	days	(or)
	0	months	(or)
	0	years


Chính xác là còn khoảng 47 giây để crack mật khẩu dài 21 kí tự ! ( khoảng 1 ngày cho 28 kí tự )
Điều cốt lõi ở đây là số tổ hợp “từ” sẽ ít hơn số tổ hợp “ký tự” do không gian tổ hợp bị thu hẹp xuống rất nhiều lần. Với một password 3 từ thì nó cũng không khác mấy khi so với một password 3 ký tự trong trường hợp này

Vietnamese Password Dictionary (vipasswordict):

Vấn đề khi thi triển kỹ thuật tấn công Dictionary Attack là ở Việt Nam chưa có một file từ điển nào được tổ hợp cho mục đích trên. Do đó tôi đang start một dự án nho nhỏ về tạo một vài bộ từ điển password dict cho ngôn ngữ Tiếng Việt. Sơ bộ thì sẽ có các bộ password dict:

- 1556 Từ tiếng Việt đơn ( đã hoàn tất ): bộ từ này là bộ căn bản dùng để tổ hợp các bộ khác, là 1556 từ tiếng Việt không dấu và đơn nhất
- Tổ hợp 2 từ tiếng Việt ( đã hoàn tất )
- Tổ hợp 3 từ tiếng Việt ( đã hoàn tất ): sau khi áp dụng grid computing thì hoàn tất mớ này trong 3 ngày chạy liên tục
- Tổ hợp 2 từ tiếng Việt – padding thêm 4 kí tự số ( 0000-9999) ( đã hoàn tất ): vì theo như tôi thống kê từ khá nhiều DB tôi tiếp cận được ( trong qua trình nghiên cứu, các DB này do các hacker vứt bừa bãi trên các diễn đàn mạng, tôi down về phân tích ). Các password được coi là “mạnh” ở Việt Nam thường có dạng “Xuanthanh2503”
- Tổ hợp 3 từ tiếng Việt – kí tự đầu viết hoa – padding thêm 4 kí tự số ( 0000-9999) ( chưa làm )

Hiện tôi đã có tạo một project trên GitHub và sẽ dần dần release từng bộ từ điển tôi tổ hợp xong lên đây

https://github.com/xnohat/vipasswordict

xnohat
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Up] [Print Copy]
  [Article]   Dictionary Attack và Brute Force attack - Vietnamese Password Dict 29/06/2013 07:29:28 (+0700) | #2 | 276983
[Avatar]
Phó Hồng Tuyết
Member

[Minus]    0    [Plus]
Joined: 20/04/2007 20:02:10
Messages: 275
Location: Nơi Sâu Thẳm Tâm Hồn
Offline
[Profile] [PM] [WWW] [Yahoo!]
Hi Xnohat,

Ý tưởng của bồ là một cách giải quyết bài toán theo tính thụ động, nhưng ngược lại nó cũng có điểm rất đáng chú ý.

Tuy nhiên mức độ áp dụng nằm ở phạm vi application mức độ vừa và thấp ( tuy nhỏ và thấp nhưng nó chiếm 80-90 % đó nhá smilie )

Đối với một số mức độ cao hơn bồ thử nghĩ đến phương pháp hoán vị thử xem.


P/s : cái này mà ra thì các chú auditor hoặc là It specialist security đám xem nó là cây kiếm đi đâm chém nhau lắm àh nha


smilie smilie smilie smilie
"Một người thành công không có ý nghĩ đổ thừa thất bại do ...."
[Up] [Print Copy]
  [Article]   Dictionary Attack và Brute Force attack - Vietnamese Password Dict 29/06/2013 07:32:55 (+0700) | #3 | 276984
[Avatar]
TheShinichi
Member

[Minus]    0    [Plus]
Joined: 25/03/2005 01:40:31
Messages: 182
Offline
[Profile] [PM]
Hi vọng khi bộ từ điển này hoàn thành nó sẽ không bị "vứt bừa bãi trên các diễn đàn mạng" smilie
[Up] [Print Copy]
  [Article]   Dictionary Attack và Brute Force attack - Vietnamese Password Dict 29/06/2013 20:20:46 (+0700) | #4 | 276990
[Avatar]
maitan_10000
Member

[Minus]    0    [Plus]
Joined: 12/02/2011 10:56:12
Messages: 43
Offline
[Profile] [PM]
Ngoài lề một tý: mình đọc thấy bác xnohat có nói
Nhưng trước nhất chúng ta nên nói sơ qua về password ( tôi không dùng từ Mật Khẩu vì từ này sai tét bét ) 

Rất thắc mắt và muốn biết tại sao nó lại sai bét? Vì trước giờ em vẫn xem Password với mật khẩu là tương đương.
[Up] [Print Copy]
  [Article]   Dictionary Attack và Brute Force attack - Vietnamese Password Dict 29/06/2013 22:41:24 (+0700) | #5 | 276993
totden
Member

[Minus]    0    [Plus]
Joined: 07/10/2008 02:37:47
Messages: 17
Offline
[Profile] [PM]
1. Bác thu thập từ ~1.500 từ tiếng việt ở đâu vậy? Sao ko lấy từ từ điển ra. Mình thấy dự án Free Vietnamese Dictionary cũng làm được bộ >30k từ, nếu tính từ đơn chắc cũng >5k smilie
2. Cách bác lấy 2 từ kiểu j. Mình thấy trong xử lý ngôn ngữ tự nhiên thì việc tách từ đạt hiệu quả khá cao, >90% thì phải. Vậy có thể lấy các đoạn văn bản trên các báo,... rồi tách từ để lấy cụm 2 từ.

Đoạn này thực sự giá trị.

- Số từ trong mật khẩu: 2 hoặc 3
- Theo như tôi thống kê từ khá nhiều DB tôi tiếp cận được ( trong qua trình nghiên cứu, các DB này do các hacker vứt bừa bãi trên các diễn đàn mạng, tôi down về phân tích ). Các password được coi là “mạnh” ở Việt Nam thường có dạng:
+ Cụm 2-3 tự tiếng Việt có nghĩa
+ Chữ cái đầu viết hoa – 2 từ tiếng Việt có nghĩa – từ 3 đến 4 chữ số
+ Ký tự @#$! - Chữ cái đầu viết hoa – 2 từ tiếng Việt có nghĩa – từ 3 đến 4 chữ số - Ký tự @#$! 
[Up] [Print Copy]
  [Article]   Dictionary Attack và Brute Force attack - Vietnamese Password Dict 30/06/2013 00:25:44 (+0700) | #6 | 276995
[Avatar]
xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]

totden wrote:
1. Bác thu thập từ ~1.500 từ tiếng việt ở đâu vậy? Sao ko lấy từ từ điển ra. Mình thấy dự án Free Vietnamese Dictionary cũng làm được bộ >30k từ, nếu tính từ đơn chắc cũng >5k smilie
2. Cách bác lấy 2 từ kiểu j. Mình thấy trong xử lý ngôn ngữ tự nhiên thì việc tách từ đạt hiệu quả khá cao, >90% thì phải. Vậy có thể lấy các đoạn văn bản trên các báo,... rồi tách từ để lấy cụm 2 từ.
 


Các từ đơn lúc đầu tôi lấy từ dự án ViSpell http://vispell.googlecode.com). Sau đó tôi thu thập khoảng vài trăm bài báo từ Vnexpress rồi hợp lại thành 1 large text file, sau đó tự động matching 1556 từ này với nội dung trong large text file trên, các từ nào có trong large text file mà không có trong 1556 từ ban đầu tôi sẽ đưa vào trong danh sách 1556 từ.

Còn vấn đề lấy 2 từ, tôi không làm chuyện phức tạp, khi mà số tổ hợp 2 từ thấp, 3 từ vẫn thấp thì tôi chọn cách vét cạn không gian tổ hợp thay vì ngồi làm chuyện "phức tạp" vì việc dùng password dict đã giảm tỷ lệ thành công xuống khi thực hiện crack password rồi, làm chuyện "phức tạp" đương nhiên sẽ làm giảm tỷ lệ đó xuống một mức nữa không đáng có, trong khi computing power cỡ con core i3 tôi có đã đủ giải quyết trọn bộ không gian tổ hợp 2, 3 từ
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Up] [Print Copy]
  [Article]   Dictionary Attack và Brute Force attack - Vietnamese Password Dict 30/06/2013 08:43:27 (+0700) | #7 | 276997
[Avatar]
startbkhn
Member

[Minus]    0    [Plus]
Joined: 25/09/2012 00:52:46
Messages: 57
Offline
[Profile] [PM]
thuật toán anh dùng là gì? Có phải otomat không hay tổ hợp đơn thuần
Lương tâm trong sạch là mục đích theo đuổi cuối cùng
[Up] [Print Copy]
  [Article]   Dictionary Attack và Brute Force attack - Vietnamese Password Dict 01/07/2013 08:05:34 (+0700) | #8 | 277022
[Avatar]
Ikut3
Elite Member

[Minus]    0    [Plus]
Joined: 24/09/2007 23:47:03
Messages: 1429
Location: Nhà hát lớn
Offline
[Profile] [PM] [Yahoo!]
@xnohat : anh cần đào sâu thêm 1 tầng lớp không nhỏ, đó là teen để giải quyết các vấn đề về các dạng Password sử dụng ngôn từ Việt Nam không chính thống
[Up] [Print Copy]
  [Article]   Dictionary Attack và Brute Force attack - Vietnamese Password Dict 01/07/2013 15:30:06 (+0700) | #9 | 277035
soibat
Member

[Minus]    0    [Plus]
Joined: 30/06/2013 05:50:05
Messages: 6
Offline
[Profile] [PM]
Thật hay là em cũng có cùng ý tưởng với anh, em cũng lấy nguồn từ đơn từ Vispell, lúc đầu có 6634 từ có dấu, em có ý tưởng là sẽ chuyển nó về dạng ko dấu, sau đó sẽ viết tool nhỏ lọc bỏ từ giống nhau thì nó còn lại 1556 từ như anh nói... sau đó dùng dict 1 từ đơn đó để tạo dict 2 từ, 3 từ...

Giờ thì em đã làm dc tới phần 2 từ, 2 từ và số...smilie. Nhưng mà nghe ý tưởng anh nói là tổng hợp từ từ các bài báo để tăng thêm lượng đơn từ còn thiếu --> Em thấy ý tưởng này rất hay smilie.
Giờ em đang quay lại viết thêm cái tool nhỏ nữa để nó tổng hợp so sánh và bổ sung từ.

Mong được anh và mọi người chia sẽ kinh nghiệm smilie
[Up] [Print Copy]
  [Article]   Dictionary Attack và Brute Force attack - Vietnamese Password Dict 03/07/2013 23:16:32 (+0700) | #10 | 277134
myquartz
Member

[Minus]    0    [Plus]
Joined: 04/01/2005 04:58:30
Messages: 563
Offline
[Profile] [PM]
Chết cha!
password mà mình đặt cho nick hva cũng là câu tiếng Việt có nghĩa nhưng may là tới 4 từ. Một số chỗ khác thì toàn là 2 từ (dài đủ 6 ký tự) => chết với bộ tự điển của xnohat.

Đổi ngay đổi ngay.
[Up] [Print Copy]
  [Article]   Dictionary Attack và Brute Force attack - Vietnamese Password Dict 04/07/2013 21:34:52 (+0700) | #11 | 277172
soibat
Member

[Minus]    0    [Plus]
Joined: 30/06/2013 05:50:05
Messages: 6
Offline
[Profile] [PM]
À, mà dict 2 từ + 4 số của em là em làm 4 số ngày tháng, làm nhiêu 4 số đó thôi là mệt gần chết rồi..., em dùng chương trình có sẵn để tạo nên mất thời gian rất nhiều.
Nếu anh có thuật toán hay chương trình nào nhanh, mong được anh chia sẻ. smilie
[Up] [Print Copy]
  [Article]   Dictionary Attack và Brute Force attack - Vietnamese Password Dict 06/07/2013 17:37:20 (+0700) | #12 | 277232
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
Password login HVA của mình là: xnohatIsAG@y.
Tiêu rồi, phải đổi pass mới gấp.
[Up] [Print Copy]
  [Article]   Dictionary Attack và Brute Force attack - Vietnamese Password Dict 16/07/2013 19:50:30 (+0700) | #13 | 277492
concobe
Member

[Minus]    0    [Plus]
Joined: 27/04/2007 19:30:07
Messages: 56
Offline
[Profile] [PM]
Wordlist ở Việt Nam thì đúng là hiếm thật và đa số đều phải tự tổ hợp để sài cho riêng mình nên đó cũng là lý do mà ít người share nó lên. Mình cũng có tìm hiểu về vấn đề này trước đây nên cũng có một số ý kiến để hoàn thiện bộ wordlist này dựa theo thói quen người dùng ở VN như sau:

1. Tổ hợp wordlist dạng ngày tháng năm (rất phổ biến khi đặt pasword)
dạng đầy đủ: 01012013
dạng khuyết: 1012013
dạng đặc biệt: 01-01-2013
...
2. Tổ hợp wordlist với các dãy số của các đầu số điện thoại của các nhà mạng
vd: 0910000000 -> 0919999999
vd: 0920000000 -> 0929999999
...

3. Sưu tầm từ các nguồn trên google.
- Email: lấy và lọc bỏ phần từ sau @ trở đi -> có một số lượng lớn mật khẩu hữu dụng và thực tế để sử dụng.
- nickname: Lọc trong các Database được share đầy trên các diễn đàn chia sẻ code -> sẽ có rất nhiều username để dùng cho wordlist.

4. Kết hợp với một số bộ wordlist thông dụng được share trên mạng như Rockyou.txt,... bấy nhiêu thôi thì cũng đã đủ để brute force ra hơn 50% số lượng mật khẩu trong 1 cái DB của BKAV lúc trước bị share lên mạng rồi.
[Up] [Print Copy]
  [Article]   Dictionary Attack và Brute Force attack - Vietnamese Password Dict 16/07/2013 23:05:20 (+0700) | #14 | 277500
meonha02
Member

[Minus]    0    [Plus]
Joined: 12/05/2012 23:57:52
Messages: 1
Offline
[Profile] [PM]
anh ơi anh cứ vào mấy forum, website tiếng Việt, trôm khoảng 1 000 000 cái password smilie rồi xếp theo thứ tự các từ được dùng nhiều nhất, thế là ra ngay cái quyển từ điển thôi mà smilie
[Up] [Print Copy]
  [Article]   Dictionary Attack và Brute Force attack - Vietnamese Password Dict 17/07/2013 02:53:47 (+0700) | #15 | 277504
[Avatar]
xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]
Hiện tôi đã có tạo một project trên GitHub và sẽ dần dần release từng bộ từ điển tôi tổ hợp xong lên đây

https://github.com/xnohat/vipasswordict

@concobe: các ý tưởng bổ sung của bồ rất đáng giá và hữu lý, tôi sẽ cân nhắc thực hiện và bổ sung vào bộ vipasswordict
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Up] [Print Copy]
  [Article]   Dictionary Attack và Brute Force attack - Vietnamese Password Dict 17/07/2013 09:00:01 (+0700) | #16 | 277510
duc_2712
Member

[Minus]    0    [Plus]
Joined: 02/09/2011 08:52:11
Messages: 3
Offline
[Profile] [PM]
Cái này có tỷ lệ chính xác có cao không bác ?
[Up] [Print Copy]
  [Article]   Dictionary Attack và Brute Force attack - Vietnamese Password Dict 17/07/2013 14:28:29 (+0700) | #17 | 277519
[Avatar]
ntcvhc
Member

[Minus]    0    [Plus]
Joined: 26/10/2011 23:49:33
Messages: 16
Location: HN
Offline
[Profile] [PM] [WWW] [Yahoo!]
Thấy từ điển của bác khá ổn, hữu ích.
Nhưng theo tầm nhìn của mình chắc chỉ có niên hạn hoạt động vài năm nữa khi mà tầng lớp teen lên quản trị, ngôn ngữ sai lệch hết cả, không tuân theo quy tắc nào cả, và không còn là tiếng việt nữa.
Đời lãng tử phiêu du theo làn gió.
Chốn phiêu bồng sẽ có lắm mỹ nhân
[Up] [Print Copy]
  [Article]   Dictionary Attack và Brute Force attack - Vietnamese Password Dict 17/07/2013 15:57:45 (+0700) | #18 | 277522
concobe
Member

[Minus]    0    [Plus]
Joined: 27/04/2007 19:30:07
Messages: 56
Offline
[Profile] [PM]

xnohat wrote:
Hiện tôi đã có tạo một project trên GitHub và sẽ dần dần release từng bộ từ điển tôi tổ hợp xong lên đây

https://github.com/xnohat/vipasswordict

@concobe: các ý tưởng bổ sung của bồ rất đáng giá và hữu lý, tôi sẽ cân nhắc thực hiện và bổ sung vào bộ vipasswordict 


Cảm ơn xnohat đã phản hồi, mình cũng bổ xung thêm một mảng nữa dù mình đã có ý định nhưng vẫn chưa thực hiện được đó là bộ wordlist tổ hợp từ số Chứng Minh Nhân Dân cũ và mới.
CMND cũ gồm 9 ký tự:
000000000 -> 999999999

CMND mới gồm 12 ký tự:
000000000000 -> 999999999999

Còn những từ điển có quy luật thì dùng ké của mấy bạn bè nước ngoài cũng ổn rồi vì đa phần cũng là những ký tự latin hết.
vd: qwerty , qazwsx , 1qazxsw23edc,...


ntcvhc wrote:
Thấy từ điển của bác khá ổn, hữu ích.
Nhưng theo tầm nhìn của mình chắc chỉ có niên hạn hoạt động vài năm nữa khi mà tầng lớp teen lên quản trị, ngôn ngữ sai lệch hết cả, không tuân theo quy tắc nào cả, và không còn là tiếng việt nữa.
 


Theo cá nhân mình biết thì bộ từ điển này còn sài được rất rất lâu nữa chứ không chỉ giới hạn vài năm như tầm nhìn của ntcvhc đâu. Đơn giản là vì mình theo dõi một thời gian rất dài và có một lượng từ điển pasword thật không nhỏ, và đa phần là từ những bé teen ấy dùng.

Ngôn ngữ sử dụng tuy có biến thể rất nhiều khi giao tiếp, comment, nickname,... nhưng về mật khẩu thì mình chưa từng thấy bé nào sài theo dạng teen đây smilie

vd: nickname teen như vầy ™Ác quỷ™ nhưng mật khẩu lại là thuần số.
[Up] [Print Copy]
  [Article]   Dictionary Attack và Brute Force attack - Vietnamese Password Dict 18/07/2013 12:07:39 (+0700) | #19 | 277556
sparrowvn
Member

[Minus]    0    [Plus]
Joined: 12/03/2012 21:21:05
Messages: 12
Offline
[Profile] [PM]
Dự án thông minh và dễ thực hiện nhưng vẫn chưa hiểu rõ mục đích của pasword project này lắm. Bac Xnohat đang giúp quá trình brute force account người việt của hacker dễ dàng hơn hay muốn người Việt bình thường từ nay phải đặt pasword phải có chữ tây hay tàu ah? smilie
Test lỗ hổng web : http://iwast.securitas.com.vn
[Up] [Print Copy]
  [Article]   Dictionary Attack và Brute Force attack - Vietnamese Password Dict 18/07/2013 14:44:58 (+0700) | #20 | 277564
t_anh155
Member

[Minus]    0    [Plus]
Joined: 16/07/2013 00:28:54
Messages: 2
Offline
[Profile] [PM]
Mình cũng mới tìm hiểu về diễn đàn. smilie bắt nguồn từ ý định hack wifi với backtrack và bộ từ điển darkc0de.lst nhưng xem ra không có hiệu quả với ngôn ngữ của nước mình. Rất hay khi mod đã có dự án thú vị này. rất có ích.
smilie smilie smilie smilie
[Up] [Print Copy]
  [Article]   Dictionary Attack và Brute Force attack - Vietnamese Password Dict 22/07/2013 15:30:39 (+0700) | #21 | 277644
KentThai
Member

[Minus]    0    [Plus]
Joined: 16/07/2013 03:36:19
Messages: 10
Offline
[Profile] [PM]
Hồi trước em cũng có dự định làm 1 app như thế này.
Nhưng khi xem lại bộ "thư viện" sử dụng khi crack pass wifi là lại quyết định từ bỏ ngay.
Em không biết bộ thư viện của bác hiện tại là bao nhiêu nhỉ? Và tốc độ xử lý để ra được một cái pass word dễ là bao nhiêu lâu ạ.
Em xin ví dụ pass "iloveyou" và "IlOvEyOu" là bao nhiêu lâu ạ.
Em cũng là là người mới nên mấy bác đừng có chém.
Em thấy sao nói vậy. Nhưng thật lòng thì bài viết của bác rất hay ạ.

smilie Mấy bác đừng có chém em nhá smilie
[Up] [Print Copy]
  [Article]   Dictionary Attack và Brute Force attack - Vietnamese Password Dict 25/07/2013 13:38:21 (+0700) | #22 | 277744
soibat
Member

[Minus]    0    [Plus]
Joined: 30/06/2013 05:50:05
Messages: 6
Offline
[Profile] [PM]

concobe wrote:

Cảm ơn xnohat đã phản hồi, mình cũng bổ xung thêm một mảng nữa dù mình đã có ý định nhưng vẫn chưa thực hiện được đó là bộ wordlist tổ hợp từ số Chứng Minh Nhân Dân cũ và mới.
CMND cũ gồm 9 ký tự:
000000000 -> 999999999

CMND mới gồm 12 ký tự:
000000000000 -> 999999999999

Còn những từ điển có quy luật thì dùng ké của mấy bạn bè nước ngoài cũng ổn rồi vì đa phần cũng là những ký tự latin hết.
vd: qwerty , qazwsx , 1qazxsw23edc,...



ntcvhc wrote:
Thấy từ điển của bác khá ổn, hữu ích.
Nhưng theo tầm nhìn của mình chắc chỉ có niên hạn hoạt động vài năm nữa khi mà tầng lớp teen lên quản trị, ngôn ngữ sai lệch hết cả, không tuân theo quy tắc nào cả, và không còn là tiếng việt nữa.
 


Theo cá nhân mình biết thì bộ từ điển này còn sài được rất rất lâu nữa chứ không chỉ giới hạn vài năm như tầm nhìn của ntcvhc đâu. Đơn giản là vì mình theo dõi một thời gian rất dài và có một lượng từ điển pasword thật không nhỏ, và đa phần là từ những bé teen ấy dùng.

Ngôn ngữ sử dụng tuy có biến thể rất nhiều khi giao tiếp, comment, nickname,... nhưng về mật khẩu thì mình chưa từng thấy bé nào sài theo dạng teen đây smilie

vd: nickname teen như vầy ™Ác quỷ™ nhưng mật khẩu lại là thuần số. 


Vậy mình bổ sung thêm vài cấu trúc tự điển nữa:
Thường mình thấy có nhiều wifi đặt pass là số nhà + tên đường (cái này mình gặp nhiều)
Pass dạng tên công ty + địa chỉ (có thể là số nhà hoặc tên đường). Cái này ở các công ty, cơ quan, các trung tâm... hay gặp nhiều, vì thường người ta thường đặt pass liên quan đến tên của công ty họ.
Pass dạng biển sổ xe: 2 số + 2 chữ + 4 số (số xe cũ) / 5 số (số xe mới). Pass dạng này mình chưa gặp nhưng chắc cũng có nhiều người dùng.
[Up] [Print Copy]
  [Article]   Dictionary Attack và Brute Force attack - Vietnamese Password Dict 06/08/2013 13:44:33 (+0700) | #23 | 277984
t_anh155
Member

[Minus]    0    [Plus]
Joined: 16/07/2013 00:28:54
Messages: 2
Offline
[Profile] [PM]
smilie
lâu rồi sao không thấy mod xnohat vào xây dựng gì thêm. không biết tình hình dự án đến đâu rồi vậy? smilie
[Up] [Print Copy]
  [Article]   Dictionary Attack và Brute Force attack - Vietnamese Password Dict 27/01/2014 16:57:07 (+0700) | #24 | 279545
footballno01
Member

[Minus]    0    [Plus]
Joined: 11/06/2011 00:41:30
Messages: 2
Offline
[Profile] [PM]
dự án này của anh đến đâu rồi ạ smilie
[Up] [Print Copy]
  [Article]   Dictionary Attack và Brute Force attack - Vietnamese Password Dict 28/01/2014 12:52:17 (+0700) | #25 | 279549
[Avatar]
maitan_10000
Member

[Minus]    0    [Plus]
Joined: 12/02/2011 10:56:12
Messages: 43
Offline
[Profile] [PM]
Sau gần cả nữa năm vẫn không có ai giải đáp giúp em với nhỉ smilie

maitan_10000 wrote:
Ngoài lề một tý: mình đọc thấy bác xnohat có nói
Nhưng trước nhất chúng ta nên nói sơ qua về password ( tôi không dùng từ Mật Khẩu vì từ này sai tét bét ) 

Rất thắc mắt và muốn biết tại sao nó lại sai bét? Vì trước giờ em vẫn xem Password với mật khẩu là tương đương. 
[Up] [Print Copy]
  [Article]   Dictionary Attack và Brute Force attack - Vietnamese Password Dict 28/01/2014 23:30:49 (+0700) | #26 | 279552
footballno01
Member

[Minus]    0    [Plus]
Joined: 11/06/2011 00:41:30
Messages: 2
Offline
[Profile] [PM]
mình hiểu thế này " mật khẩu" nghĩa là khẩu hiệu mật , nó chỉ tóm gọn nghĩa ngắn như vậy
còn password là chuỗi kí tự bí mật nó bao hàm rộng hơn hehe
[Up] [Print Copy]
  [Article]   Dictionary Attack và Brute Force attack - Vietnamese Password Dict 02/02/2014 07:55:59 (+0700) | #27 | 279570
[Avatar]
Ky0
Moderator

Joined: 16/08/2009 23:09:08
Messages: 532
Offline
[Profile] [PM]

maitan_10000 wrote:
Sau gần cả nữa năm vẫn không có ai giải đáp giúp em với nhỉ smilie

maitan_10000 wrote:
Ngoài lề một tý: mình đọc thấy bác xnohat có nói
Nhưng trước nhất chúng ta nên nói sơ qua về password ( tôi không dùng từ Mật Khẩu vì từ này sai tét bét ) 

Rất thắc mắt và muốn biết tại sao nó lại sai bét? Vì trước giờ em vẫn xem Password với mật khẩu là tương đương. 
 


Bạn thử phân tích từ hán việt của từ mật khẩu và nghĩa gốc của từ password nhé smilie

Mật: Bí mật, thông tin ít người biết
Khẩu: Miệng, lời nói
Nghĩa gốc của từ mật khẩu là: "lời hỏi hoặc đáp ngắn gọn đã được quy ước làm mật hiệu để những người trong cùng một tổ chức nhận ra nhau"

Về tính chất thì "Mật khẩu" và "Password" là như nhau, nhưng ý nghĩa khác nhau hoàn toà smilie
Đối với các thuật ngữ chuyên ngành thì tốt nhất là không nên việt hoá smilie

- Ky0 -
UITNetwork.com
Let's Connect
[Up] [Print Copy]
  [Article]   Dictionary Attack và Brute Force attack - Vietnamese Password Dict 11/04/2014 20:38:57 (+0700) | #28 | 280303
soibat
Member

[Minus]    0    [Plus]
Joined: 30/06/2013 05:50:05
Messages: 6
Offline
[Profile] [PM]
Mình làm đã chưa tới đâu hết mà máy mình đã chịu hết nỗi smilie Nên chịu thua
[Up] [Print Copy]
  [Article]   Dictionary Attack và Brute Force attack - Vietnamese Password Dict 23/04/2014 19:25:50 (+0700) | #29 | 280424
xsonpro3202
Member

[Minus]    0    [Plus]
Joined: 07/12/2010 02:32:14
Messages: 3
Offline
[Profile] [PM]
Em xin lỗi đã đào mồ. Nhưng không biết dự án này các anh đã làm xong chưa..... cho e xin file list pass được không. Chứ e không biết tự tổng hợp lại sao hết. amater thì chỉ biết đợi ngta làm rồi mình dựa theo rồi ăn thôi..... smilie
[Up] [Print Copy]
  [Article]   Dictionary Attack và Brute Force attack - Vietnamese Password Dict 05/08/2014 08:28:00 (+0700) | #30 | 281203
tranmanhhung0905
Member

[Minus]    0    [Plus]
Joined: 10/04/2014 12:08:01
Messages: 2
Offline
[Profile] [PM]
sau khi có file password oy.làm thế nào để chạy bạn
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|