Штірліц переглядав електронну пошту. Hезаметно входить Мюллер. У Штірліца на екрані безглуздий набір символів. "Шифровка." - подумав Мюллер. "Koi-8" - подумав Штірліц.
Тепер трохи математики. Розглянемо такий випадок: пароль - не слово, а випадковий набір маленьких англійських символів. Для того, щоб підібрати 2-ух буквений пароль, за теорією ймовірності, треба 26 * 26/2 = 338 раз перебрати пароль. Для трьохбуквені - 26 ^ 3/2 = 8788, для чотирибуквене - 26 ^ 4/2 = 228488 і т.д. Тут, звичайно, є варіанти. Можна спочатку перебирати так: перша буква - голосна, друга - згодна; перша - згодна, друга - голосна. Але, якщо пароль складається не тільки з маленьких англійських букв, але і з великих, плюс цифри і спец-символи, то великий облом. Одна справа у себе локально на крутому компі підібрати пароль до excel-евского документу, а інша справа по інету. Отже, ми визначилися, що прямий перебір не котить. При такому паролі, треба пробувати перші три способи.
Розглянемо перебір по словнику. Тут є кілька варіантів:
Насправді, іноді, все не так вже й безнадійно. Розглянемо кілька реальних прикладів. Вірніше, я обмовився - все приклади придумана, все імена змінені, і будь-які збіги абсолютно випадкові.
Приклад 2. Ідіотизм. Колись мені прийшов лист начебто від досить відомої контори, що займається безпекою. Там була пропозиція заповнити резюме і вислати його на мило з уже розглянутого нами безкоштовного, дуже популярного, але такого дірявого glukr.net. Резюме було на 3-ех листах з проханням вказати ВРЮ інформацію про себе. Я відразу запідозрив недобре. Або хтось дуже хотів отримати про мене всю інфу для якихось своїх "чорних" задумів і не мав нічого спільного з цією конторою (що швидше за все), або в цій конторі є дуже розумні люди (див. Тему прикладу). На "Забув пароль" у мене запитали зростання. Ввівши пару значень, я виявив тимчасовий захист, тобто за певний проміжок часу можна було вводити більше двох варіантів. Розсудивши, що карлик якийсь не буде відповідати на питання про зростання, я почав зі 180. Вводячи по чуть-чуть цифри, до ранку, я побачив таку рідну серцю табличку. Замість того, щоб ввести щось типу "6 futov 1 дюйм + 2 litra пива", там було цифрове значення. Нічого я міняти не став, а то, раптом, дійсно людей на роботу беруть, а я потопчіться своїми кросівками рибок 46 четвертого розміру за великим і чистому.
P.S. У наступній статті я напишу, як досліджувати web-інтерфейс для роботи з поштою, написати брутфорс, підбирає на ньому паролі (до речі, буде розглянуто mail.xakep.ru), і підведу загальні підсумки.