Подбор паролей без использования искусственного интеллекта: как злоумышленники составляют целевые списки слов

Главная » Безопасность в IT » Подбор паролей без использования искусственного интеллекта: как злоумышленники составляют целевые списки слов

09.02.2026

Время чтения: 5 мин.

Пароли по-прежнему остаются камнем преткновения в вопросе соотношения удобства использования и безопасности. Средства контроля, призванные усилить аутентификацию, часто усложняют процесс, из-за чего пользователи полагаются на привычные шаблоны, а не на действительно непредсказуемые учетные данные. На практике это часто приводит к тому, что пароли состоят из слов на родном языке организации.

Злоумышленники давно заметили эту особенность поведения и продолжают ее использовать. Вместо того чтобы полагаться на искусственный интеллект или сложные алгоритмы подбора, многие атаки с использованием учетных данных начинаются с чего-то гораздо более простого: сбора контекстной информации и ее использования для подбора паролей.

Такие инструменты, как генераторы пользовательских списков слов (Custom Word List, CeWL), делают этот процесс эффективным и воспроизводимым без дополнительных технических сложностей, значительно повышая вероятность успеха и снижая уровень шума и риск обнаружения.

Такое поведение злоумышленников объясняет, почему NIST SP 800-63B настоятельно не рекомендует использовать в паролях контекстно-зависимые слова, в том числе названия сервисов, имена пользователей и производные от них. Однако для соблюдения этого правила необходимо понимать, как злоумышленники составляют и используют эти списки слов в реальных атаках.

Это различие важно, поскольку многие стратегии защиты по-прежнему предполагают, что подбор паролей основан на обширных общих наборах данных.

Читать Как очистить файл журнала в Linux

Откуда на самом деле берутся целевые списки слов

CeWL — это веб-краулер с открытым исходным кодом, который извлекает слова с веб-сайтов и формирует из них структурированные списки. Он по умолчанию входит в состав широко используемых дистрибутивов для тестирования на проникновение, таких как Kali Linux и Parrot OS, что снижает порог входа как для злоумышленников, так и для специалистов по информационной безопасности.

Злоумышленники используют CeWL для сканирования общедоступных цифровых ресурсов организации и сбора терминологии, отражающей то, как организация взаимодействует с внешним миром.

Как правило, это описания услуг компании, внутренние формулировки, встречающиеся в документации, и отраслевые термины, которые не встречаются в общих словарях паролей.

Эффективность этого подхода заключается не в новизне, а в актуальности. Полученные списки слов в точности повторяют лексику, с которой пользователи сталкиваются в повседневной работе, и поэтому с большей вероятностью повлияют на выбор пароля.

От общедоступного контента до подбора паролей

CeWL можно настроить на контроль глубины сканирования и минимальной длины слова, что позволит злоумышленникам исключать малозначимые результаты. При таком подходе на выходе получаются реалистичные варианты паролей, полученные с помощью предсказуемых преобразований.

Например, в медицинской организации, такой как больница, общедоступный контент может содержать такие данные, как название организации, сведения о ее местонахождении, а также об услугах и методах лечения, которые она предлагает.

Эти слова редко используются в качестве паролей сами по себе, но они служат базовым набором, который злоумышленники систематически модифицируют с помощью распространенных шаблонов, таких как числовые суффиксы, заглавные буквы или дополнительные символы, чтобы подобрать правдоподобный пароль.

После того как злоумышленники получают хешированные пароли, часто в результате взлома сторонних ресурсов или заражения программами-вымогателями, такие инструменты, как Hashcat, применяют эти правила мутации в больших масштабах. Можно сгенерировать миллионы вариантов и эффективно протестировать их на скомпрометированных данных.

Читать Что такое компьютерный вирус? Часть 2

Те же списки слов можно использовать для атак на сервисы аутентификации в реальном времени, где злоумышленники могут полагаться на ограничение скорости, тайминг или метод медленного подбора, чтобы снизить вероятность обнаружения или блокировки учетной записи.

Почему правила сложности паролей по-прежнему не соблюдаются

Основная проблема заключается в том, что многие пароли, сгенерированные таким образом, соответствуют стандартным требованиям к сложности.

Анализ более шести миллиардов скомпрометированных паролей, проведенный специалистами по информационной безопасности, показывает, что организации по-прежнему сталкиваются с этой проблемой, даже если у них есть программы повышения осведомленности и обучения. Когда пароли состоят из привычных для организации слов, увеличение их длины или разнообразия символов мало помогает снизить неопределенность, связанную с использованием контекстных базовых терминов.

Пароль типа HospitalName123! наглядно демонстрирует эту проблему. Несмотря на то, что он соответствует требованиям к сложности пароля в Active Directory, он все равно является ненадежным в сфере здравоохранения.

Списки слов, составленные на основе CeWL, легко выявляют названия организаций и аббревиатуры, встречающиеся в общедоступном контенте, что позволяет злоумышленникам подбирать правдоподобные варианты паролей путем минимальных и систематических изменений.

Защита от целенаправленных атак с использованием списков слов

Для снижения уязвимости к атакам с использованием списков слов необходимы меры контроля, направленные на формирование паролей, а не только на их сложность.

Блокировка паролей, основанных на контексте, и паролей, которые уже были скомпрометированы

Не позволяйте пользователям создавать пароли на основе специфической для организации лексики, такой как названия компаний и продуктов, внутренние проектные термины, отраслевая терминология и распространенные варианты подмены слов злоумышленниками, а также блокируйте учетные данные, которые уже фигурировали в утечках данных.

Читать Протокол RADIUS

Политика паролей Specops позволяет использовать пользовательские словари исключений и постоянно сканирует Active Directory на наличие более 5,4 миллиарда скомпрометированных паролей, предотвращая атаки с использованием списков слов в стиле CeWL и снижая вероятность повторного использования раскрытых учетных данных.

Обеспечьте минимальную длину и сложность пароля

Требуйте, чтобы парольные фразы состояли как минимум из 15 символов, так как длина и непредсказуемость обеспечивают наилучшую защиту от подбора методом полного перебора. Парольные фразы — лучший способ заставить пользователей создавать надежные и длинные пароли.

Включите многофакторную аутентификацию (МФА)

Если вы еще этого не сделали, начните с этого. Рассмотрите простое и эффективное решение для многофакторной аутентификации, которые может защитить вход в Windows, VPN и RDP-соединения.

Хотя многофакторная аутентификация не предотвращает взлом паролей, она значительно снижает риск раскрытия учетных данных, не позволяя использовать пароли в качестве самостоятельного фактора аутентификации.

Приведите политику использования паролей в соответствие с реальными атаками

Относитесь к паролям как к активному средству обеспечения безопасности, а не как к статичному требованию. Применение политик, запрещающих использование паролей, полученных из контекста, ранее раскрытых или легко угадываемых, снижает ценность целевых списков слов для злоумышленников, а многофакторная аутентификация обеспечивает необходимую вторую линию защиты в случае компрометации учетных данных.

В совокупности эти меры обеспечивают более надежную стратегию аутентификации, учитывающую реальные сценарии атак с использованием паролей.

Просмотров поста: 1

Редактор: AndreyEx

Рейтинг: 5 (1 голос)