Андрей Смирнов
Время чтения: ~9 мин.
Просмотров: 0

В Google теперь можно проверить пароли на безопасность по базам утечек

Теперь вы можете проверить на безопасность все пароли, которые сохранены у вас в аккаунте Google. Для этого достаточно зайти в диспетчер паролей: он сопоставит ваши данные с базой всех крупных утечек.

Информацию об утечках Google собирает сама. В основном данные поступают из открытых источников, но иногда компания находит украденные пароли на просторах тёмного интернета.

Если Google обнаружит, что какие-то ваши пароли ранее попали в открытый доступ, то предложит их сменить. Также сервис сообщит, если вы используете один и тот же пароль на большом количестве сайтов. Диспетчер предупредит и о слишком слабых паролях, которые легко угадать.

blog.google

Все пароли, которые проходят проверку, зашифрованы: сотрудники Google их не видят. Вся информация, включая предупреждения, хранится только у вас на компьютере.

В феврале 2019 года Google выпустила для этих же целей расширение, но теперь можно обойтись без него. В будущем компания добавит функцию проверки паролей в Chrome — специально заходить в диспетчер будет не нужно.

Согласно многочисленным исследованиям в области компьютерной безопасности, в ТОП-3 уязвимостей информационных систем входит подбор пароля.

Почти для каждой информационной системы сегодня существуют свои дефолтные учётные записи, которые широко распространены в сети Интернет. Например, их можно взять отсюда.

В случае, если мы имеем какой-либо портал, где пользователи – это люди, то бОльшую часть уязвимых слабых паролей можно отнести к одной из 4 групп:

  1. Пароли, входящие в топ самых популярных фраз (такие как «123456», «password», и т.п.).
  2. Пароли, представляющие собой сочетание клавиш – так называемые keyboard-walks пароли (например, «qwerty», «qazwsx», и т.п.).
  3. Пароли – искажённые логины («user123», «user321», и т.п.).

Вся беда в том, что большинство людей – причем как рядовых пользователей, так и администраторов систем – стремится использовать легко запоминающиеся пароли.

Из выделенных групп частых паролей вытекает, что при подборе пароля можно использовать соответственно 4 методики создания словарей:

  1. По данным сервиса haveibeenpwned.com, на сегодняшний день масштаб всеобщих утечек подбирается к цифре 5 миллиардов (вспомните myspace, linkedin, adobe и т.п). На основе части данных утечек можно выделить топ-1000 наиболее распространенных паролей. Например, так:cat antipublic/ exploitin/ | sed -rn ‘s/[^:]+:(.)/1/p’ | sort | uniq -c | sort -n -r | head 1000 > top1000.txt*
  2. Чуть больше года назад от создателя инструмента hashcat появилась замечательная утилита kwprocessor. С помощью нее можно сгенерировать все возможные сочетания клавиш под любую раскладку клавиатуры:kwp basechars/tiny.base keymaps/en.keymap routes/2-to-10-max-3-direction-changes.route | len.bin 6 100 > keywalks.txt
  3. Получение достаточно большого количества искажений для некоторого имени пользователя проще всего сделать при помощи набора правил утилиты hashcat:hashcat -r /usr/share/hashcat/rules/leetspeak.rule logins.txt —stdout > login_mutations.txt
  4. Аналогично первому пункту списка, можно взять за основу словаря масштабные утечки русскоязычных ресурсов.

Собранные наборы паролей в дальнейшем могут быть «скормлены» таким утилитам как hydra, medusa, ncrack или patator, в зависимости от тестируемого сервиса.

В случае, если аутентификация реализована через web, а именно через http-формы (то есть не http-basic/digest аутентификация), то удобнее всего воспользоваться функционалом intruder от burp suite free (Рисунок 1).

ilb31qyffoxy5xzxg9-xmcixuji.png

Рисунок 1 — Bruteforce-атака подручными средствами

В случае с burp нужно внимательно следить за размером ответа: изменение размера ответа можешь означать, что логин или пароль присутствует в системе.

Также при bruteforce-атаках на web возможны сложности (и речь даже не про captcha):

  • Во-первых, при каждой отправке формы может использоваться токен. И после каждой неудачной попытки он может меняться.
  • Во-вторых, нет точного образца ответа сервера в случае, если пароль угадан. Более того, возможны ситуации, когда ответ на правильные и неправильные учётные данные будет идентичен, а в ответе будет просто идти редирект через заголовок Location, где уже в дальнейшем будет ясно об успешности попытки входа.
  • В-третьих, некоторые веб-сервисы при аутентификации не отправляют введённые учётные данные, как они были введены, открытым текстом. Речь про случаи, когда используется client-side хэширования, причем сами хэш-функции могут быть уникальными (не md5, sha-x и т.п.).

Впрочем, для этих сложностей можно предложить решения:

  • Разработка скрипта, который будет парсить ответ от сервера, находить там токен, после чего подставлять его в следующий запрос.
  • Разработка скрипта, выполняющего при каждом ответе редирект и сравнение длины полученного ответа.
  • Анализ javascript-кода, выполняющего те или иные преобразования с введёнными данными, а после реализация данного алгоритма в своем скрипте.

Реализовать это можно с помощью расширения для браузера greasemonkey и собственного javascript-кода, который будет жёстко заточен под разметку данной html-страницы. Но писать каждый раз js-код для каждой новой страницы неудобно. Удобнее всего было бы иметь всё это в виде отдельного расширения, в данном случае – для Google Chrome.

Всё, что потребуется, чтобы воспользоваться www_brute – это открыть какой-либо интересующий сайт и нажать на иконку расширения. Если всё сделано правильно, то появится примерно следующее (Рисунок 2).

89ckhfqhhsesrnf8r7-sctzu_yg.pngРисунок 2 — Добавление новой цели

  • Выбор полей ввода данных — кнопка со стрелкой.
  • Выбор данных для ввода — следующая кнопка.

Перед выбором полей для ввода логина и пароля на странице сайта с формой, которую предстоит атаковать, будет внедрён скрипт, который последовательно отловит три нажатия на элементы страницы. Этими элементами должны быть поле username, password и кнопка отправки формы. Перечисленные элементы должны быть выбраны именно в данной последовательности (Рисунок 3).

jm-fp_znawmzsu-a9rdmfrfgjm4.pngРисунок 3 — Выбор полей для ввода

При каждом нажатии на соответствующий элемент он будет становиться красным, что подтверждает его выбор. После выбора кнопки отправки данных страница может перезагрузиться (если она не использует ajax), в таком случае красное выделение пропадёт, но это нормально.

Тут очень важно отметить, что элементы ввода запоминаются по html-атрибутам и их значениям. Поэтому, если после отправки формы сайт «нарисует» другую форму, то при следующей попытке подбора поле ввода не будет найдено. Хотя логика поиска полей ввода допускает не полное соответствие атрибутов, всё же данную настройку лучше производить уже после хотя бы одной неудачной отправки учётных данных. Пример – facebook.com (Рисунки 4 и 5).

2poild7ioos3gb751ucz8hoxbvw.pngРисунок 4 — Форма до первой попытки входа

ft2ixhhkswkbebhxpa1s-jrryp0.pngРисунок 5 — Форма после первой попытки входа

Словари поддерживаются для имен пользователей, паролей и фиксированных пар логин: пароль (combo) (Рисунок 6).

vcoazn62awzbx_suh-rsgwmjany.pngРисунок 6 — Словари для bruteforce-атаки

Поскольку combo-словари используются для дефолтных учётных записей либо утечек, то вначале будут выбраны именно они. Затем будет выполнен полный перебор всех сочетаний имён пользователей и логинов. Причём будет выполнен перебор по каждому паролю всех логинов – для минимизации возможных блокировок пользователей при неудачных попытках. Итого общее количество попыток можно будет вычислить по формуле:

length(combo) + length(passwords) * length(users)

По окончании всех настроек можно начинать:

scf_tre41wfvmu59cgol8vnzim4.pngРисунок 7 — Bruteforce-атака в действии

  • не кончится словарь;

ewuexjw9u1xjjy4k24vhee37qry.pngРисунок 8 — Процесс bruteforce-атаки на множество целей

Зелёным выделено то, что удалось подобрать, красным — безуспешная попытка. В ходе работы можно спокойно переключиться на другую вкладку либо полностью свернуть окно браузера, ведь как мы помним, брутфорс делает сам браузер, а мы лишь немного ему в этом помогаем.

Перебор пароля можно легко «распараллелить». Для этого достаточно просто открыть ещё одну или несколько вкладок на том же домене.

В любой момент времени брутфорс любого сайта может быть поставлен на паузу. Стоит заметить, что плагин не имеет обратной связи с ответами сервера, поэтому (особенно в случае с ajax) нужно правильно выбрать интервал между попытками. Не рекомендуется ставить слишком маленькое значение интервала.

Конечно данный способ никак не обходит такую вещь, как captcha, так что брутфорс таких вещей, как gmail.com и им подобных, продлится не долго. Однако в сочетании с proxy/vpn можно что-нибудь придумать…

Что же касается таких вещей, как брутфорс админок разных CMS, систем мониторинга, самописных сайтов и прочих вещей, которыми обычно пестрят сетевые периметры разных компаний, то данный способ подходит как нельзя лучше.

Плагин для chrome, а так же словарь для топ-1000 паролей доступен на тут и в webstore.

Наверняка ты знаешь о том, что браузер Хром предлагает сохранять твои секретные коды, чтобы авторизация на сайтах проходила быстрее и проще. Как посмотреть пароли в Гугл Хром, если ты решил освежить в памяти эту информацию или никак не можешь вспомнить нужный пароль?

Система сохранения данных для авторизации называется Smart Lock. Именно с ее помощью ты можешь не вводить секретный код каждый раз, а значит, заходить на нужный сайт гораздо быстрее. Где же находятся сохраненные логины и пароли в браузере Гугл Хром, которые вводились тобой ранее?

kak-posmotret-paroli-1_1.jpg

В браузере

Как в Google Chrome посмотреть сохраненные пароли? Это зависит от того, каким устройством ты пользуешься.

На компьютере

Вот где в Google Chrome для компьютера хранятся пароли от сайтов:

  • Нажми значок с тремя точками в правой верхней части страницы
  • Выбери пункт «Настройки», и далее – «Дополнительные»

ubrat-vsplyvajushhie-okna-3.jpg

  • Здесь тебе понадобится раздел «Пароли и формы»
  • Нажми «Настройки» — так ты откроешь окно, где можно посмотреть интересующую тебя информацию

kak-posmotret-paroli-2.jpg

  • В открытом доступе представлены адреса сайтов и логины, а для того, чтобы увидеть секретный код, нужно нажать на значок с изображением глаза

kak-posmotret-paroli-3.jpg

  • Посмотреть данные онлайн можно по ссылке passwords.google.com Информация будет доступна даже в том случае, если ты используешь другой браузер – но в этом случае нужно авторизоваться через аккаунт Гугл

На Android

Узнать сохраненные пароли в Google Chrome на Андроид еще проще:

  • Коснись значка с тремя точками, который находится справа от адресной строки
  • Выбери раздел «Настройки», а затем – «Smart Lock или Сохранение»
  • Нажми на сообщение «Просматривайте сохраненные данные и управляйте ими на странице passwords.google.com»

На IOs

Вот как найти сохраненные пароли в браузере Гугл Хром на Айфоне:

  • Жми три точки в правом верхнем углу открытого браузера

kak-posmotret-paroli-7.jpg

  • Выбирай «Настройки» – «Smart Lock или Сохранение»
  • Тапни нужный пункт с сохраненным секретным кодом
  • В соответствующем разделе выбери «Показать»

На компьютере

Можно ли посмотреть сохраненные в Гугл Хроме пароли прямо на своем устройстве? Информация о твоей работе в браузере, в том числе и файл с паролями Google Chrome, спокойно лежит на твоем компьютере, и вот в какой папке:

  • Windows 10, 8: «C:UsersAppDataLocalGoogleChromeUser DataDefaultLogin Data»
  • Windows 7: «C:UsersAppDataLocalGoogleChromeUser DataDefault»
  • Vista: «C:UsersAppDataLocalGoogleChromeUser DataDefault»
  • XP: «C:Documents And SettingsLocal SettingsApplication DataGoogleChrome User Data (если есть такая папка)Default»
  • Mac OS X: «~/Library/Application Support/Google/Chrome/Default»
  • Linux: «~/.config/google-chrome/Default»

Документ, где лежат нужные тебе данные, называется Login Data.

kak-posmotret-paroli-8.jpg

Разумеется, если открыть файл просто так, ничего полезного ты не найдешь – все данные зашифрованы с помощью алгоритма AES. Испльзуй для просмотра информации дополнительные утилиты, например, расширение DB Browser for SQLite или программу ChromePass.

Как запретить устройству запоминать секретный код

Особенно это актуально в том случае, если ты не один пользуешься компьютером.

  • Нажми три точки рядом адресной строкой
  • Открывай последовательно «Настройки» — «Дополнительные» — «Password and forms» — «Настройки»
  • В открывшемся разделе можно деактивировать ненужный параметр

kak-posmotret-paroli-9.jpg

Ещё по теме

961d0eb5b7a4b20_200x155.jpgСделать Яндекс стартовой страницей4ddc4b29ab67303_200x155.jpgНет звука в браузере6ec5d149f4068e9_200x155.jpgДля Windows XPeab9a66b4f28fd3_200x155.jpgFreegate: скачать35ec760d7c7482c_200x155.jpgНе открывается на компьютере7a71c28d2e24c72_200x155.jpgДля Win 10Используемые источники:

  • https://lifehacker.ru/google-paroli/
  • https://habr.com/post/346284/
  • https://googlechro-me.ru/kak-posmotret-paroli-v-chrom/

Рейтинг автора
5
Подборку подготовил
Максим Уваров
Наш эксперт
Написано статей
171
Ссылка на основную публикацию
Похожие публикации