Подбор паролей без использования искусственного интеллекта: как злоумышленники составляют целевые списки слов

Главная » Безопасность в IT » Подбор паролей без использования искусственного интеллекта: как злоумышленники составляют целевые списки слов

09.02.2026

Время чтения: 5 мин.

Пароли по-прежнему остаются камнем преткновения в вопросе соотношения удобства использования и безопасности. Средства контроля, призванные усилить аутентификацию, часто усложняют процесс, из-за чего пользователи полагаются на привычные шаблоны, а не на действительно непредсказуемые учетные данные. На практике это часто приводит к тому, что пароли состоят из слов на родном языке организации.

Злоумышленники давно заметили эту особенность поведения и продолжают ее использовать. Вместо того чтобы полагаться на искусственный интеллект или сложные алгоритмы подбора, многие атаки с использованием учетных данных начинаются с чего-то гораздо более простого: сбора контекстной информации и ее использования для подбора паролей.

Такие инструменты, как генераторы пользовательских списков слов (Custom Word List, CeWL), делают этот процесс эффективным и воспроизводимым без дополнительных технических сложностей, значительно повышая вероятность успеха и снижая уровень шума и риск обнаружения.

Такое поведение злоумышленников объясняет, почему NIST SP 800-63B настоятельно не рекомендует использовать в паролях контекстно-зависимые слова, в том числе названия сервисов, имена пользователей и производные от них. Однако для соблюдения этого правила необходимо понимать, как злоумышленники составляют и используют эти списки слов в реальных атаках.

Это различие важно, поскольку многие стратегии защиты по-прежнему предполагают, что подбор паролей основан на обширных общих наборах данных.

Читать Некоторые из ключевых преимуществ антивирусного программного обеспечения для защиты электронной почты

Откуда на самом деле берутся целевые списки слов

CeWL — это веб-краулер с открытым исходным кодом, который извлекает слова с веб-сайтов и формирует из них структурированные списки. Он по умолчанию входит в состав широко используемых дистрибутивов для тестирования на проникновение, таких как Kali Linux и Parrot OS, что снижает порог входа как для злоумышленников, так и для специалистов по информационной безопасности.

Злоумышленники используют CeWL для сканирования общедоступных цифровых ресурсов организации и сбора терминологии, отражающей то, как организация взаимодействует с внешним миром.

Как правило, это описания услуг компании, внутренние формулировки, встречающиеся в документации, и отраслевые термины, которые не встречаются в общих словарях паролей.

Эффективность этого подхода заключается не в новизне, а в актуальности. Полученные списки слов в точности повторяют лексику, с которой пользователи сталкиваются в повседневной работе, и поэтому с большей вероятностью повлияют на выбор пароля.

От общедоступного контента до подбора паролей

CeWL можно настроить на контроль глубины сканирования и минимальной длины слова, что позволит злоумышленникам исключать малозначимые результаты. При таком подходе на выходе получаются реалистичные варианты паролей, полученные с помощью предсказуемых преобразований.

Например, в медицинской организации, такой как больница, общедоступный контент может содержать такие данные, как название организации, сведения о ее местонахождении, а также об услугах и методах лечения, которые она предлагает.

Эти слова редко используются в качестве паролей сами по себе, но они служат базовым набором, который злоумышленники систематически модифицируют с помощью распространенных шаблонов, таких как числовые суффиксы, заглавные буквы или дополнительные символы, чтобы подобрать правдоподобный пароль.

После того как злоумышленники получают хешированные пароли, часто в результате взлома сторонних ресурсов или заражения программами-вымогателями, такие инструменты, как Hashcat, применяют эти правила мутации в больших масштабах. Можно сгенерировать миллионы вариантов и эффективно протестировать их на скомпрометированных данных.

Читать Windows 11 KB5083631: 34 изменения и исправления — полный разбор обновления

Те же списки слов можно использовать для атак на сервисы аутентификации в реальном времени, где злоумышленники могут полагаться на ограничение скорости, тайминг или метод медленного подбора, чтобы снизить вероятность обнаружения или блокировки учетной записи.

Почему правила сложности паролей по-прежнему не соблюдаются

Основная проблема заключается в том, что многие пароли, сгенерированные таким образом, соответствуют стандартным требованиям к сложности.

Анализ более шести миллиардов скомпрометированных паролей, проведенный специалистами по информационной безопасности, показывает, что организации по-прежнему сталкиваются с этой проблемой, даже если у них есть программы повышения осведомленности и обучения. Когда пароли состоят из привычных для организации слов, увеличение их длины или разнообразия символов мало помогает снизить неопределенность, связанную с использованием контекстных базовых терминов.

Пароль типа HospitalName123! наглядно демонстрирует эту проблему. Несмотря на то, что он соответствует требованиям к сложности пароля в Active Directory, он все равно является ненадежным в сфере здравоохранения.

Списки слов, составленные на основе CeWL, легко выявляют названия организаций и аббревиатуры, встречающиеся в общедоступном контенте, что позволяет злоумышленникам подбирать правдоподобные варианты паролей путем минимальных и систематических изменений.

Защита от целенаправленных атак с использованием списков слов

Для снижения уязвимости к атакам с использованием списков слов необходимы меры контроля, направленные на формирование паролей, а не только на их сложность.

Блокировка паролей, основанных на контексте, и паролей, которые уже были скомпрометированы

Не позволяйте пользователям создавать пароли на основе специфической для организации лексики, такой как названия компаний и продуктов, внутренние проектные термины, отраслевая терминология и распространенные варианты подмены слов злоумышленниками, а также блокируйте учетные данные, которые уже фигурировали в утечках данных.

Читать Виртуальная частная сеть от Troywell

Политика паролей Specops позволяет использовать пользовательские словари исключений и постоянно сканирует Active Directory на наличие более 5,4 миллиарда скомпрометированных паролей, предотвращая атаки с использованием списков слов в стиле CeWL и снижая вероятность повторного использования раскрытых учетных данных.

Обеспечьте минимальную длину и сложность пароля

Требуйте, чтобы парольные фразы состояли как минимум из 15 символов, так как длина и непредсказуемость обеспечивают наилучшую защиту от подбора методом полного перебора. Парольные фразы — лучший способ заставить пользователей создавать надежные и длинные пароли.

Включите многофакторную аутентификацию (МФА)

Если вы еще этого не сделали, начните с этого. Рассмотрите простое и эффективное решение для многофакторной аутентификации, которые может защитить вход в Windows, VPN и RDP-соединения.

Хотя многофакторная аутентификация не предотвращает взлом паролей, она значительно снижает риск раскрытия учетных данных, не позволяя использовать пароли в качестве самостоятельного фактора аутентификации.

Приведите политику использования паролей в соответствие с реальными атаками

Относитесь к паролям как к активному средству обеспечения безопасности, а не как к статичному требованию. Применение политик, запрещающих использование паролей, полученных из контекста, ранее раскрытых или легко угадываемых, снижает ценность целевых списков слов для злоумышленников, а многофакторная аутентификация обеспечивает необходимую вторую линию защиты в случае компрометации учетных данных.

В совокупности эти меры обеспечивают более надежную стратегию аутентификации, учитывающую реальные сценарии атак с использованием паролей.

Просмотров поста: 20

Редактор: AndreyEx

Рейтинг: 5 (1 голос)