Атака по словарю
Что такое Атака по словарю?
Атака по словарюЦеленаправленный подбор паролей, при котором используются записи из заранее составленных списков слов, утёкших паролей и их вариаций по правилам.
Атака по словарю сужает пространство перебора, пробуя только правдоподобные кандидаты: распространённые слова, имена, даты, утёкшие пароли и мутации по правилам («Password» → «P@ssw0rd!2025»). Современные инструменты взлома (Hashcat, John the Ripper) накладывают словари, маски, гибридные правила и марковские модели на захваченные хэши и оказываются на порядки быстрее чистого перебора.
Почему словари так эффективны
Реальные человеческие пароли плотно сгруппированы в крошечной доле пространства ключей. Канонический словарь rockyou.txt происходит из утечки RockYou в декабре 2009 года: SQL-инъекция раскрыла около 32 млн учётных данных, которые компания хранила в открытом виде. Список из 14 344 392 уникальных паролей по сей день поставляется по умолчанию с Kali Linux и обычно первым идёт в ход у пентестера при захваченном хэше. Поздние сборки вроде RockYou2021 и RockYou2024 агрегируют миллиарды утёкших строк из множества утечек, но большинство взломов по-прежнему даёт исходные несколько миллионов.
Как идёт современный взлом
Сырой список применяют редко. Используют файлы правил (например, best64, dive из Hashcat), выполняющие leet-замену, переключение регистра и добавление годов/суффиксов, а для «длинного хвоста» переходят к маскам и марковским атакам. На потребительских GPU это восстанавливает слабые пароли за быстрыми хэшами (MD5, SHA-1 без соли, NTLM) за секунды.
Защита
Защита живёт в основном на уровне хранения: соль и memory-hard хеширование Argon2id, bcrypt или scrypt (либо PBKDF2 с большим числом итераций) делают каждую попытку дорогой. Сочетайте это с проверкой по скомпрометированным паролям (например, k-anonymity API сервиса Have I Been Pwned), длинными парольными фразами, ограничением частоты, блокировкой учётной записи и MFA, чтобы восстановленного пароля было недостаточно самого по себе.
flowchart LR
A[Захваченный хэш пароля] --> B[Загрузить словарь<br/>rockyou.txt]
B --> C[Применить правила мутаций<br/>leet, суффиксы, регистр]
C --> D[Хешировать каждый кандидат<br/>с солью и алгоритмом цели]
D --> E{Дайджест совпал?}
E -->|Да| F[Пароль восстановлен]
E -->|Нет| G[Следующий кандидат]
G --> C● Примеры
- 01
Взлом утёкшей базы паролей с rockyou.txt и правилами Hashcat.
- 02
Перебор корпоративного тематического словаря по захваченному NTLM-хэшу.
● Частые вопросы
Что такое Атака по словарю?
Целенаправленный подбор паролей, при котором используются записи из заранее составленных списков слов, утёкших паролей и их вариаций по правилам. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Атака по словарю?
Целенаправленный подбор паролей, при котором используются записи из заранее составленных списков слов, утёкших паролей и их вариаций по правилам.
Как защититься от Атака по словарю?
Защита от Атака по словарю обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Атака по словарю?
Распространённые альтернативные названия: Атака по wordlist.