Tengo una duda , para hacer fuerza bruta se necesita un diccionario y el ataque se basa en ir probando las palabras que hay en ese diccionario , pero ¿se podria hacer que probase todas las combinaciones posibles hasta dar con la clave correcta? es decir sin necesidad de un diccionario , que lo pruebe todo no solo lo del diccionario
se usa diccionario para resumir las probabilidades... si se puede intentar todo pero en tiempo es inutil
explico
imagina una contraseña de 6 dígitos mayúsculas, minúsculas y números, esto son 62 cifras, par redondear 64 (26) esto a la vez debe ser 6 veces asi que es 646 (266 = 26*6 = 236) que se traduce en 68.719.476.736 posibilidades
supongamos que tienes un sistema hiper eficiente capaz de probar 100.000 de posibilidades por segundo, aun estarías 687.194 segundos intentando, unos 8 dias
pero se años realistas, con un muy buen sistema capaz llegues a 20k pasa/seg que es 1/5 de ese calculo... y eso sin agregarle el 7mo digito, eso sería agarrar el tiempo que ya tienes y multiplicarlo por 64 (8 dias ahora serian unos 512+8) y así en mas...
por esas razones fuerza bruta normalmente ni si quiera es tomado en cuenta
En línea
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
Aja , gracias por estos datos , es que estoy viendo Mr Robot y Elliot utiliza fuerza bruta pero tiene un script que va buscando la contraseña , no utiliza un diccionario con unas palabras ya puestas con antelación , por eso preguntaba si habia algo parecido , Gracias!
en hecho si usa un diccionario (el que hace con los datos que averigua de la persona), solo que no usa programas standard, sino scripts propios
« Última modificación: 2 Junio 2016, 19:29 pm por engel lex »
En línea
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
Aja , pues eso lo he intentado yo , he cogido fechas de nacimiento , nombres de mascotas , de todo de la persona a la que quiero atacar , y nada , y tampoco estoy utilizando un programa clasico estoy usando un script modificado , pero ya veo que la fuerza bruta no vale para mucho
« Última modificación: 2 Junio 2016, 19:54 pm por Tservidor »
estoy viendo Mr Robot y Elliot utiliza fuerza bruta [..]
jaja justo ahora estaba viendo esto:
Los ataques por fuerza bruta a servicios web hoy en día prácticamente no tienen sentido, porque están implementados mecanismos de defensa, como Fail2Ban o sistemas de Captcha (imagen de verificación) para verificar que las peticiones son humanas y no automáticas o de robots.
Ni hotmail, ni gmail, ni el propio foro xD te van a dejar probar más de 10 combinaciones sin bloquearte temporalmente el acceso por intentos fallidos....
Sin embargo los ataques por fuerza bruta a contraseñas (hashes) si son muy utilizados con diccionarios y variaciones o con ataques con tablas predefinidas con un algoritmo, como las tablas "Rainbow". Ya que aquí puedes hacer todos los intentos o combinaciones que quieras, ya que es suele ser en local, y no hay ninguna restricción, tan sólo la potencia de tu CPU, bueno más bien dicho de tu GPU que es la que realmente es capaz de hacer más combinaciones en menos tiempo.
Muy bueno el documental , lo vi antes de empezar con la serie , aja , y como consigo el hash de una cuenta en facebook (por ejemplo) para posteriormente realizar el ataque ,si es que te he entendido bien....
Gracias
« Última modificación: 2 Junio 2016, 20:32 pm por Tservidor »
Si sigues en esta línea de preguntar lo primero que se te pase por la cabeza sin antes investigar o leer documentación acabarás baneado del foro.
Lee cómo hacer preguntas inteligentes y temas similares, por dónde empezar, etc.
Para conseguir el hash de la cuenta de facebook primero tendrías que obtener la base de datos de Facebook con sus respectivos salts, cosa que se me antoja un tanto complicada, por no decir imposible.