首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >使用NLP生成个性化的Wordlist用于密码猜测爆破

使用NLP生成个性化的Wordlist用于密码猜测爆破

作者头像
FB客服
发布2019-09-24 16:53:54
1K0
发布2019-09-24 16:53:54
举报
文章被收录于专栏:FreeBufFreeBuf

我编写了一个名为Rhodiola的工具,该工具可以分析目标数据(例如目标的tweets),并检测其中最常用的主题,以此来构建一个用于密码猜测/暴破的个性化的Wordlist。这是一个为密码猜测攻击创建新方法的实验性项目。

介绍

密码可以说是自互联网诞生以来,我们数字帐户的最主要的一种安全机制。因此,密码往往也是攻击者的首要目标之一。攻击者可以使用两种主要方法来查找目标的密码。攻击者可以事先准备好一个钓鱼网站,诱骗目标输入他们的密码到网站中。或者,攻击者可以通过暴破的方式强制执行密码猜测攻击。密码猜测攻击可以分为两大类:在线攻击和离线攻击。

在线密码猜测攻击是攻击者将用户名/密码组合发送到HTTP,SSH等服务的地方,并尝试通过检查服务的响应来识别正确的组合。离线密码猜测攻击通常是针对散列形式的密码进行的。攻击者必须使用合适的加密散列函数计算密码的散列,并将其与目标散列进行比较。对于在线和离线攻击,攻击者通常都需要有一个密码wordlist。大多数Web应用程序都有密码复杂性规则,用户必须使用至少一个数字,大写/小写字母和特殊字符。此外还有许多预防措施,例如IP阻止,账户冻结等。因此,减少攻击次数对攻击者来说非常重要。

掩码攻击

掩码攻击是将暴破池减少到可接受大小的主要方法之一。掩码攻击是指指定一个固定的密码结构,并根据该结构生成候选密码。例如,使用纯暴破的方法破解“Julia1984”,我们需要计算13.537.086.546.263.552个不同的组合。但是如果我们设置一个具有其结构的掩码,我们可以将组合池减少到237.627.520.000。当然,这对于在线攻击来说仍然是个天文数字。通常我们是无法通过互联网向应用程序发送两千亿次请求的。

Sherlock 的方法

但是,纯暴力攻击和掩码攻击并不是密码猜测的唯一方法。还有一种基于智能猜测的方法。例如,在Sherlock的Hound of Baskerville episode中,Sherlock Holmes一次就猜中了正确的密码。但在现实生活中我们怎么能做到呢?

让我们假设以上是目标发送的tweet,而我们就是Sherlock Holmes。我们可以做出以下推断:目标的女儿叫Julia,并且目标非常爱她的女儿,因为他/她发布了关于她的推文。目标最喜欢的作家是George Orwell,他最受欢迎的书是1984。所以把它们组合起来,就是“Julia1984”,就这么简单?

根据卡内基梅隆大学和卡尔顿大学的实验,大多数人都会根据个人爱好,工作,宗教,体育,电子游戏等主题来作为他们的密码组合。[1][2]这意味着大多数用户密码都包含有意义的单词,并且与密码的所有者相关。所以在理论上,我们可以成为一个密码破解的sherlock holmes。让我们来验证一下。

Myspace 和 Ashley Madison Wordlists 分析

当我们用PACK(密码分析和破解工具包)分析泄露的Myspace和Ashley Madison密码列表并生成最常用的掩码时,我们可以看到几乎95%的密码是由序列的字母字符组成的。所以这些词很有可能都是有意义的。以下是一些常见的掩码:

?l?l?l?l?l?l: 7%?l?l?l?l?l?l?l?l: 7%?l?l?l?l?l?l?l: 6%?l?l?l?l?l?l?d?d: 4%?l?l?l?l?l?l?l?l?l: 4%

由于Ashley Madison和Myspace的wordlists大多数都是由序列的字母字符组成,因此它们很有可能是有意义的单词。如果它们是有意义的,我们就可以使用有意义的词来填充掩码,而不是强制的暴力破解。第一步是了解字母序列在英语中是否是一个有意义的单词。如果字母序列在英语词典中列出,我们就可以说它是一个英语单词。我用Wordnet作为词典。分析显示,几乎百分之四十的单词列表都包含在Wordnet词典中,因此它们是有意义的英语单词。

在确认Wordnet中包含字母序列后,因此它是一个英语单词,我们需要做词性标记(POS标记)。英语中有八大词类:名词、代词、动词、形容词、副词、介词、连词和感叹词。词性标注是将文本中的一个词标记为与特定词性相对应的过程。NLTK Python库用于POS标记。

为了了解哪个词类在密码中出现的最多,我们再次分析了Myspace和Ashley Madison的wordlists。用于分析的脚本代码你可以在此处获取。结果显示大多为单数名词(约占32%)

如果我们使用牛津英语词典中的所有单词,则组合池将为171,476。如果我们使用“?l?l?l?l?l?l”掩码暴破所有六字符字母的字符串,组合池将为308.915.776。因此,尝试词典中的所有英语单词将比使用掩码快1801倍。但是对于在线攻击来说,171,476仍然是一个很大的数字。

Sherlock 的方法(再次)

那么让我们回顾一下迄今为止我们已掌握的事实。首先,我们的分析显示人们偏向使用有意义的单词作为他们的密码。第二,根据各大学的研究,我们知道密码主要基于个人主题。因此,Sherlock Holmes的方法在理论上是可行的。但这能在实践中做到吗?Sherlock Holmes所做的是分析关于目标的个人主题。然后,他将这些组合在一起并想出了一个候选密码。

但在现实生活中我们能做到吗?为此,我们需要有关目标的信息和从该信息中提取出候选密码的算法。我们需要像Sherlock Holmes那样的目标数据源,我们可以找出目标的兴趣爱好和其他兴趣领域。显然,这些信息我们可以在一些社交媒体找到,例如在Twitter上人们就倾向于撰写关于他们的兴趣爱好和其他兴趣领域的帖子。由于tweets存在字符限制,因此用户会更专注地写东西。这也使得我们的信息收集工作变得轻松。免去了我们可能需要处理大型/乱码文本的过程。因此,让我们使用Twitter作为我们的数据源,并尝试构建我们的个性化wordlist生成算法。

算法构建

下载和清洗 Tweet 数据

首先,我们需要通过Twitter的API从目标收集推文。由于我们的目标是识别用户的个人主题并生成相关的单词,因此我们需要从下载的推文中删除不必要的数据(停用词)。NLTK的stopwords扩展和自定义列表都被使用。列表包含高频词,如“the,a,an,to,that,i,you,we,they”。这些字在处理数据之前被删除。我们还删除了动词,因为密码大多包含名词。

识别最常用的名词和专有名词

上面我们分析过,几乎32%的用户密码都包含单数名词。因此,我们的第一个目标是确定最常用的名词和专有名词。用户最感兴趣的主题可以用它们来识别。用NLTK的词性标记功能来识别最常用的名词和专有名词。例如上面的tweet,名词是:作者和女儿。专有名词是:George Orwell 和 Julia。

配对相似词

在某些情况下,名词可以一起使用。要创建有意义的单词对,我们需要分析它们的语义相似性。为此,NLTK的路径相似性[16]与Wordnet上的第一个名词含义(n.01)一起用于所有已识别的名词。路径相似性基于在is-a(上位词/下位词)分类法中连接的最短路径,返回表示两个词有多相似的分数。得分在0到1的范围内。如果相似度得分高于0.12,我们的算法就可以对它们进行配对。

查找相关的辅助词

研究人员发现密码中最常用的语义主题是位置和年份。因此,应该能找到与用户兴趣领域相关的位置和年份。wiki被用于这两项工作。我们的算法访问每个专有名词的wiki页面,用正则解析年份,并使用其硬编码城市列表识别城市名称。在上面的示例推文中,当我们向wiki发送“George Orwell”时,我们的算法将解析诸如London,1984等词。

组合

最后一步是整合我们所有获取的数据。从示例Tweet中我们获取到了George Orwell这个专有名词,我们将它发送到wiki,它返回给我们了1984。除此之外,我们还有另一个专有名词Julia。所以,当我们把所有的数据组合在一起时,我们的单词列表中的某个地方就会有正确的密码“Julia1984”。因此,我们可以像Sherlock Holmes一样破解密码,而不是面对那数以百万计的组合。

Rhodiola

Rhodiola是用Python 2.7编写的,主要基于NLTK和textblob库。通过一个给定的Twitter句柄(如果你没有,你也可以用你自己的数据。请查看Github页面了解有关详情),它可以自动编译一个包含以下元素的个性化wordlist:最常用的名词和专有名词,配对名词和专有名词,与检测到的专有名词相关的城市和年份。例如:

有关其详细用法,请查看Github页面:https://github.com/tearsecurity/rhodiola

总结

由于人们更倾向于使用他们感兴趣领域的单词来作为其密码组合,并在Twitter上公开这些兴趣领域,因此攻击者可以通过分析目标的推文来创建针对性的wordlist。除了Twitter之外,任何其他的社交媒体平台都有可能成为攻击者精准创建wordlist的有效数据来源。因此,用户应避免使用社交媒体中公开主题中的单词。最好使用存储在密码管理器中的随机密码。

*参考来源:utkusen,FB小编secist编译,转载请注明来自FreeBuf.COM

本文参与 腾讯云自媒体分享计划,分享自微信公众号。
原始发表:2019-09-21,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 FreeBuf 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体分享计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 介绍
  • 掩码攻击
  • Sherlock 的方法
  • Sherlock 的方法(再次)
  • 算法构建
    • 下载和清洗 Tweet 数据
      • 识别最常用的名词和专有名词
        • 配对相似词
          • 查找相关的辅助词
            • 组合
            • Rhodiola
            • 总结
            领券
            问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档