Құпия сөзді бұзу - Password cracking

Жылы криптоанализ және компьютердің қауіпсіздігі, парольді бұзу бұл парольдерді қалпына келтіру процесі[1] бастап деректер ішінде сақталған немесе жеткізген компьютерлік жүйе шифрланған түрінде. Жалпы тәсіл (қатал шабуыл ) дегеніміз - құпия сөзді бірнеше рет болжау және оларды қол жетімділігімен тексеру криптографиялық хэш пароль[2]

Құпия сөзді бұзудың мақсаты пайдаланушыға ұмытылған парольді қалпына келтіруге көмектесу болуы мүмкін (жаңа құпия сөзді орнату қауіпсіздік қаупі аз, бірақ оған жүйелік әкімшілдік артықшылықтары кіреді), жүйеге рұқсатсыз кіру немесе профилактикалық қызмет ретінде әрекет ету сол арқылы өлшеу жүйелік әкімшілер оңай бұзылатын парольдерді тексеріңіз. Файлдар бойынша парольді бұзу судьяның қол жеткізуіне рұқсат берген цифрлық дәлелдерге қол жеткізу үшін қолданылады, егер белгілі бір файлдың рұқсаттары шектелген болса.

Құпия сөзді іздеуге уақыт қажет

Құпия сөзді бұзу уақыты бит күшіне байланысты (қараңыз пароль күші ), бұл парольдің өлшемі болып табылады энтропия, және пароль қалай сақталатыны туралы мәліметтер. Құпия сөзді бұзу әдістерінің көпшілігі компьютерде көптеген кандидаттардың құпия сөздерін жасауды талап етеді, олардың әрқайсысы тексеріледі. Бір мысал өрескел күшпен жару, онда компьютер тырысады әрқайсысы сәтті болғанға дейін мүмкін кілт немесе құпия сөз. Бірнеше процессордың көмегімен бұл уақытты таңбалардың соңғы мүмкін тобынан іздеу және бір уақытта басынан бастап оңтайландыруға болады, басқа параллельдерді ықтимал құпия сөздердің белгіленген таңдауы арқылы іздеуге орналастыруға болады.[3] Сияқты құпия сөзді бұзудың кең таралған әдістері сөздік шабуылдар, үлгіні тексеру, сөздердің тізімін ауыстыру және т.с.с. талап етілетін сынақтардың санын азайтуға тырысады және әдетте қатал күш қолданылмайды. Құпия сөз битінің жоғары күші парольді қалпына келтіру үшін орташа есеппен тексерілетін кандидат парольдерінің санын экспоненциалды түрде көбейтеді және кез-келген крекинг сөздікте парольдің табылу ықтималдығын азайтады.[4]

Компьютерлік бағдарламаларды қолдана отырып, парольдерді бұзу мүмкіндігі - бұл тексеруге болатын секундына мүмкін болатын парольдер саны. Егер қаскүнемге мақсатты парольдің хэші қол жетімді болса, бұл сан секундына миллиардтаған немесе триллионда болуы мүмкін, өйткені желіден тыс шабуыл мүмкін. Егер олай болмаса, ставка аутентификация бағдарламалық жасақтамасының парольді қолданудың қаншалықты жиі болатындығына немесе уақыттың кешігуіне байланысты болады, CAPTCHAs немесе сәтсіз әрекеттердің бірқатарынан кейін мәжбүрлі құлыптар. Тез болжауға болатын тағы бір жағдай - а-ны құру үшін пароль қолданылғанда криптографиялық кілт. Мұндай жағдайларда шабуылдаушы болжамдалған құпия сөздің шифрланған деректерді сәтті декодтайтындығын тез тексере алады.

Парольді хэштеудің кейбір түрлері үшін қарапайым жұмыс үстелі компьютерлері жалпы мақсаттағы CPU-да жұмыс жасайтын парольдерді бұзу құралдары мен секундына миллиард парольдерді GPU негізіндегі парольдерді бұзу құралдары арқылы секундына жүз миллионнан астам құпия сөздерді тексере алады.[1][5][6] (Қараңыз: Джон Риппер эталондар).[7] Құпия сөзді болжау жылдамдығы жүйенің құпия сөзді жасыру үшін қолданатын криптографиялық функциясына байланысты. Сияқты құпия сөзді хэштеу функциясы bcrypt, қарапайым тәрізді аңғал функциялардан гөрі көптеген бұйрықтар жақсы MD5 немесе ША. Пайдаланушы таңдаған сегіз таңбалы пароль, сандар, аралас регистр және таңбалармен, жалпы таңдалған парольдермен және басқа сөздік сәйкестіктерімен сүзгіден өткізіліп, шамамен 30 биттік күшке жетеді, дейді NIST. 2018-04-21 Аттестатта сөйлеу керек30 бұл тек бір миллиард ауыстыру[8] және егер хэштеу функциясы аңғал болса, бірнеше секунд ішінде жарылып кетеді. Кәдімгі жұмыс үстелі компьютерлерін жасауға болатындай етіп біріктіру кезінде ботнеттер, парольді бұзу мүмкіндіктері айтарлықтай кеңейтілген. 2002 жылы, таратылған.net 64-бит табылды RC5 төрт жыл ішінде әр түрлі уақытта 300 000-нан астам түрлі компьютерлерді қамтыған және секундына орта есеппен 12 миллиардтан астам кілт шығаратын күш.[9]

Графикалық процессорлар белгілі бір хэштеу алгоритмі үшін жалпы мақсаттағы компьютерлерге қарағанда парольді бұзуды 50-ден 100-ге дейін арттыра алады. 2011 жылдан бастап қол жетімді коммерциялық өнімдер жоғары деңгейлі графикалық процессорды қолдана отырып, стандартты жұмыс үстелі компьютерінде секундына 2 800 000 000 құпия сөзді тексеруге мүмкіндік алады.[10] Мұндай құрылғы бір күнде 10 әріптен тұратын бір реттік құпия сөзді бұза алады. Салыстырмалы графикалық процессорлары бар компьютерлер санына пропорционалды қосымша жылдамдық беру үшін жұмысты көптеген компьютерлерге таратуға болады.[дәйексөз қажет ]. Алайда кейбір алгоритмдер GPU-да баяу жұмыс істеуге арналған немесе тіпті арнайы жасалған. Мысалдарға мыналар жатады (үштік) DES, bcrypt , скрипт және Аргон2.

Соңғы онжылдықта аппараттық үдеудің пайда болуы GPU хэштеу алгоритмдерінің көпшілігі үшін қатал шабуылдың тиімділігі мен жылдамдығын арттыру үшін ресурстарды пайдалануға мүмкіндік берді. 2012 жылы Stricture Consulting Group 25-GPU кластерін ашты, олар секундына 350 миллиард болжам жасайтын шабуыл күшіне қол жеткізіп, оларды тексеруге мүмкіндік берді. 5,5 сағат ішінде құпия сөз тіркесімдері. Ocl- пайдалануХэшкат Плюс виртуалды OpenCL кластерлік платформа[11], Linux негізіндегі GPU кластері «LinkedIn қолданушыларына тиесілі 6,5 миллион пароль хэштерінің 90 пайызын бұзу» үшін қолданылған.[12]

Кейбір нақты хэштеу алгоритмдері үшін процессорлар мен графикалық процессорлар сәйкес келмейді. Мақсатты жабдық жоғары жылдамдықта жұмыс істеуі үшін қажет. Қолданбалы жабдықты қолдану арқылы жасауға болады FPGA немесе ASIC технология. Екі технологияның да дамуы күрделі және (өте) қымбат. Жалпы, FPGA аз мөлшерде қолайлы, ASIC (өте көп) мөлшерде тиімді, энергияны үнемдеу және жылдамырақ. 1998 жылы Электронды шекара қоры (EFF) ASIC-ті қолдана отырып, арнайы құпия сөзді бұзушы құрылды. Олардың машинасы, Deep Crack, 56 сағат ішінде DES 56 биттік кілтін бұзып, секундына 90 миллиардтан астам кілтті сынап көрді[13]. 2017 жылы жария етілген құжаттар ASIC-тің бүкіл интернетті кодты бұзу үшін әскери жоба үшін қолданылатындығын көрсетеді[14]. ASIC-негізіндегі пароль бұзушыларды жобалау және құрастыру үкіметтік емес ұйымдар үшін қол жетімсіз деп саналады. 2019 жылдан бастап Джон Риппер FPGA-ны қолданумен шектеулі алгоритмдер саны үшін парольді бұзуды қолдайды[15]. FPGA негізіндегі қондырғыларды коммерциялық компаниялар қазір парольді бұзу үшін қолданады[16].

Есте сақтау оңай, болжау қиын

Есте сақтау қиын парольдер жүйенің қауіпсіздігін төмендетеді, өйткені (а) пайдаланушыларға құпия сөзді қауіпсіз емес әдісті қолданып жазып алу немесе электронды түрде сақтау қажет болуы мүмкін, (б) пайдаланушыларға парольді жиі қалпына келтіру қажет болады және (с) пайдаланушылар сол парольді қайта қолдану үшін. Сол сияқты, пароль күшіне қойылатын неғұрлым қатаң талаптар, мысалы. «үлкен және кіші әріптер мен цифрлардан тұратын» немесе «ай сайын өзгертетін» болса, қолданушылар жүйені соғұрлым дәрежеге ауыстырады.[17]

«Құпия сөздердің есте қалуы және қауіпсіздігі» бөлімінде[18] Джефф Ян т.б. құпия сөзді дұрыс таңдау туралы пайдаланушыларға берілген кеңестің әсерін зерттейді. Олар сөз тіркесін ойлауға және әр сөздің бірінші әрпін қабылдауға негізделген парольдер аңғалдықпен таңдалған парольдер сияқты есте қаларлық және кездейсоқ жасалған парольдер сияқты қиын болатынын анықтады. Байланысты емес екі сөзді біріктіру тағы бір жақсы әдіс. Жеке дизайнға ие болу »алгоритм «түсініксіз құпия сөздерді жасау үшін тағы бір жақсы әдіс.

Алайда, пайдаланушылардан «бас әріптер мен кіші символдар қоспасынан» тұратын құпия сөзді есте сақтауды сұрау, олар биттердің ретін есте сақтауды сұрауға ұқсас: есте сақтау қиын, ал оны бұзу сәл қиынырақ (мысалы, 128 есе қиын) crack 7 әріптен тұратын парольдер, егер пайдаланушы әріптердің біреуін жай ғана бас әріппен жазса). Пайдаланушылардан «әріптер мен цифрларды» қолдануды сұрау көбінесе «E» → '3' және 'I' → '1' сияқты оңай ауыстырылатын ауыстыруларға, шабуылдаушыларға жақсы таныс алмастыруларға әкеледі. Құпия сөзді бір пернетақта қатарынан жоғары теру - шабуылдаушыларға белгілі кәдімгі айла.

Зерттеулер бірнеше профессорлардың 2015 жылдың сәуір айындағы мақаласында егжей-тегжейлі көрсетілген Карнеги Меллон университеті адамдардың құпия сөз құрылымын таңдауы белгілі бірнеше заңдылықтарға сәйкес келетіндігін көрсетеді. Нәтижесінде, парольдер математикалық ықтималдықтар көрсеткендей емес, оңай бұзылуы мүмкін. Бір цифрдан тұратын парольдер, мысалы, парольдің соңында оны пропорционалды емес түрде енгізеді.[19]

Оқиғалар

1998 жылы 16 шілдеде, CERT шабуылдаушы 186 126 шифрланған пароль тапқан оқиға туралы хабарлады. Олар ашылған кезде олар 47 642 құпия сөзді бұзып үлгерген.[20]

2009 жылдың желтоқсанында құпия сөзді бұзу Rockyou.com веб-сайт пайда болды, бұл 32 миллион парольдің шығуына әкелді. Содан кейін қаскүнем 32 миллион парольдің толық тізімін (басқа анықталатын ақпаратсыз) ғаламторға жіберді. Құпия сөздер мәліметтер базасында ақылды мәтінде сақталды және SQL инъекциясының осалдығы арқылы шығарылды. The Имперва Қолданбаларды қорғау орталығы (ADC) парольдердің беріктігіне талдау жасады.[21]

2011 жылдың маусымында, НАТО (Солтүстік Атлантикалық келісім ұйымы) 11000-нан астам электронды кітап дүкенінің тіркелген қолданушыларының аты мен тегі, пайдаланушы аты мен құпия сөзінің жариялануына әкеп соққан қауіпсіздікті бұзды. Деректер бөлігі ретінде жарияланды AntiSec операциясы, қамтитын қозғалыс Аноним, LulzSec, сондай-ақ басқа да хакерлік топтар мен адамдар.[22]

2011 жылы 11 шілдеде, Буз Аллен Гамильтон, айтарлықтай жұмыс жасайтын американдық ірі консалтингтік фирма Пентагон, олардың серверлері бұзылды Аноним және сол күні ағып кетті. «« Дүйсенбіде әскери құлдырау »деп аталатын бұл ақпаратқа әскери қызметшілердің 90 000 логині кіреді. USCENTCOM, SOCOM, Теңіз күштері, әр түрлі Әуе күштері нысандар, Ұлттық қауіпсіздік, Мемлекеттік департамент қызметкерлер, және жеке сектордың мердігерлері қалай көрінеді ».[23] Бұл құпия сөздер құпия болып саналады тұзсыз SHA-1, және кейінірек ADC тобы талдады Имперва, тіпті кейбір әскери қызметкерлердің «1234» сияқты әлсіз парольдерді қолданғаны анықталды.[24]

2011 жылдың 18 шілдесінде Microsoft Hotmail құпия сөзге тыйым салды: «123456».[25]

2015 жылдың шілдесінде өздерін «Әсер ететін команда» деп атайтын топ Эшли Мэдисонның пайдаланушы деректерін ұрлады. Көптеген құпия сөздер салыстырмалы түрде күшті екеуін де қолданды bcrypt алгоритм және әлсіз MD5 хэші. Соңғы алгоритмге шабуыл жасау 11 миллионға жуық ашық мәтінді парольді қалпына келтіруге мүмкіндік берді.

Алдын алу

Құпия сөздің бұзылуына жол бермеудің бір әдісі - шабуылдаушылардың құпия сөзге де қол жеткізе алмауын қамтамасыз ету. Мысалы, Unix операциялық жүйе, құпиясөздер бастапқыда жалпыға қол жетімді файлда сақталған / etc / passwd. Қазіргі Unix (және соған ұқсас) жүйелерде, керісінше, олар көлеңкелі пароль файл / etc / shadow, бұл тек жақсартылған артықшылықтармен жұмыс істейтін бағдарламаларға қол жетімді (яғни «жүйелік» артықшылықтар). Бұл зиянкесті пайдаланушыға бірінші кезекте құпия сөздерді алуды қиындатады, дегенмен көптеген қорғағыштарға қарамастан құпия сөзді жинау жиынтығы ұрланған. Кейбір жалпы желілік протоколдар парольдерді ақылды мәтінмен жібереді немесе әлсіз шақыру / жауап беру схемаларын қолданады.[26][27]

Тағы бір тәсіл - сайтқа арналған құпия кілт пен парольді хэшпен біріктіру, бұл құпия сөзді қалпына келтіруге жол бермейді, тіпті егер құпия мәндер жойылса да. Алайда артықшылықты күшейту қорғалған хэш файлдарын ұрлай алатын шабуылдар сайттың құпиясын да ашуы мүмкін. Үшінші тәсіл - қолдану кілттерді шығару функциялары бұл парольдерді болжау жылдамдығын төмендетеді.[28]:5.1.1.2

Тағы бір қорғау шарасы - қолдану тұз, хэштеуге енгізілген әрбір құпия сөзге тән кездейсоқ мән. Тұз бірнеше хэштің бір уақытта шабуылына жол бермейді, сонымен қатар алдын-ала есептелген сөздіктердің жасалуына жол бермейді радуга үстелдері.

Заманауи Unix жүйелері дәстүрлідің орнын басты DES - құпия сөзді хэштеу функциясы crypt () сияқты күшті әдістермен crypt-SHA, bcrypt және скрипт.[29] Басқа жүйелер де осы әдістерді қолдана бастады. Мысалы, бастапқыда Cisco IOS қайтымды қолданылған Vigenère шифры құпия сөздерді шифрлау үшін, бірақ қазір «құпияны қосу» командасы қолданылған кезде md5-crypt-ті 24 биттік тұзбен қолданады.[30] Бұл жаңа әдістер үлкен тұзды мәндерді пайдаланады, бұл шабуылдаушыларға бір уақытта бірнеше пайдаланушының есептік жазбаларына қарсы офлайн шабуылдарды тиімді орнатуға мүмкіндік бермейді. Алгоритмдер баяу орындалады, бұл сәтті оффлайн шабуыл жасау уақытын күрт арттырады.[31]

Сияқты парольдерді сақтау үшін көптеген хэштер қолданылады MD5 және ША отбасы, жадыға төмен қажеттіліктермен және аппараттық құралдарға тиімді енгізумен жылдам есептеуге арналған. Осы алгоритмдердің бірнеше даналарын қатар жүргізуге болады графикалық өңдеу қондырғылары (GPU), жылдамдықты бұзу. Нәтижесінде жылдам хэштер құпия сөздің бұзылуын болдырмауға, тіпті тұздың көмегімен де тиімсіз. Кейбіреулер пернені созу сияқты алгоритмдер PBKDF2 және crypt-SHA парольдік хэштерді итеративті түрде есептеу және парольдерді тексеру жылдамдығын едәуір төмендетуге мүмкіндік береді, егер қайталау саны жеткілікті болса. Сияқты басқа алгоритмдер скрипт болып табылады есте сақтау қиын Демек, олар көп уақытты қажет ететін есептеуге қоса, салыстырмалы түрде үлкен көлемде жадты қажет етеді, сондықтан GPU және теңшелген интегралды микросхемалардың көмегімен бұзу қиынырақ болады.

2013 жылы ұзақ мерзімді Құпия сөздерді Hash сайысы құпия сөзді бұзудың жаңа, стандартты алгоритмін таңдау туралы жарияланды[32], бірге Аргон2 2015 жылы жеңімпаз ретінде таңдалды, басқа алгоритм, Әуе шары, ұсынған NIST.[33] Екі алгоритм де жадқа қиын.

А сияқты шешімдер қауіпсіздік белгісі беру ресми дәлелдеу парольді үнемі ауыстыру арқылы жауап беріңіз. Бұл шешімдер қол жетімді мерзімді күрт қысқартады өрескел мәжбүрлеу (шабуылдаушы бір ауысым ішінде парольді бұзып, қолдануы керек) және олар ұрланған парольдердің мәнін аз уақытқа созылатындықтан төмендетеді.

Бағдарламалық жасақтама

Негізгі санат: Құпия сөзді бұзуға арналған бағдарламалық жасақтама

Құпия сөзді бұзуға арналған бағдарламалық жасақтама құралдары көп, бірақ ең танымал[34] болып табылады Ұшақ, Қабыл мен Абыл, Джон Риппер, Хэшкат, Гидра, DaveGrohl және ElcomSoft. Көптеген сот ісін қолдау бағдарламасы пакеттерге парольді бұзу функциясы да кіреді. Бұл пакеттердің көпшілігінде крекинг стратегиялары, алгоритмі қатал күш пен сөздік шабуылдары араласады, олар ең өнімді болып табылады.[35]

Бірқатар қорғаныс схемалары үшін есептеуіш қуаттың қол жетімділігі және құпия сөзді бұзатын жаңадан бастаушы автоматтандырылған бағдарламалық жасақтама белсенділікті қабылдауға мүмкіндік берді. сценарий балалар.[36]

Сондай-ақ қараңыз

Әдебиеттер тізімі

  1. ^ а б oclHashcat-lite - қосымша парольді қалпына келтіру. Hashcat.net. 2013 жылдың 31 қаңтарында алынды.
  2. ^ Монторо, Массимилиано (2009). «Құпия сөзді бұзуға қатысты күш қолдану». Қышқыл. Түпнұсқадан 2013 жылдың 20 тамызында мұрағатталған. Алынған 13 тамыз, 2013.CS1 maint: жарамсыз url (сілтеме)
  3. ^ Бахадурсингх, Роман (19 қаңтар, 2020). [Роман Бахадурсингх. (2020). N Процессордағы құпия сөзді бұзудың күшейтілген алгоритмі. http://doi.org/10.5281/zenodo.3612276 «Процессордағы құпия сөзді бұзудың күшейтілген алгоритмі»] Тексеріңіз | url = мәні (Көмектесіңдер). zenodo.org. дои:10.5281 / zenodo.3612276.
  4. ^ Лундин, Лей (11 тамыз, 2013). «PIN-кодтар мен парольдер, 2-бөлім». Құпия сөздер. Орландо: SleuthSayers.
  5. ^ Александр, Стивен. (20.06.2012) Bug Charmer: парольдер қанша уақыт болуы керек?. Bugcharmer.blogspot.com. 2013 жылдың 31 қаңтарында алынды.
  6. ^ Cryptohaze блогы: 10 хэш бойынша 154 миллиард NTLM / сек. Blog.cryptohaze.com (2012 жылғы 15 шілде). 2013-01-31 аралығында алынды.
  7. ^ Джон Риппер критерийлері. openwall.info (30.03.2010). 2013-01-31 аралығында алынды.
  8. ^ Берр, В. Додсон, Д. Ф .; Polk, W. T. (2006). «Электронды аутентификация жөніндегі нұсқаулық» (PDF). NIST. дои:10.6028 / NIST.SP.800-63v1.0.2. Алынған 27 наурыз, 2008. Журналға сілтеме жасау қажет | журнал = (Көмектесіңдер)
  9. ^ «64-биттік жобаның мәртебесі». Distributed.net. Архивтелген түпнұсқа 2013 жылдың 10 қыркүйегінде. Алынған 27 наурыз, 2008.
  10. ^ Құпия сөзді қалпына келтіру жылдамдығы кестесі, бастап ElcomSoft. NTLM парольдер, Nvidia Tesla S1070 графикалық процессоры, 2011 жылдың 1 ақпанында қол жеткізді
  11. ^ http://www.mosix.org/txt_vcl.html/
  12. ^ «25-графикалық процессор кластері Windows стандартты паролін <6 сағат ішінде бұзады». 2012.
  13. ^ «EFF DES Cracker машинасы крипто-дебатқа адалдық әкеледі». EFF. Архивтелген түпнұсқа 2010 жылдың 1 қаңтарында. Алынған 7 маусым, 2020.
  14. ^ «Нью-Йорк кездейсоқ түрде интернеттің барлық бөлігіне әскери кодты бұзатын компьютерлік жобаны ашты».
  15. ^ «Джон Риппер 1.9.0-Jumbo-1».
  16. ^ «Bcrypt құпия сөзінің бұзылуы өте баяу? Егер сіз жүздеген FPGA қолданып жатсаңыз емес!».
  17. ^ Желілік қауіпсіздікті басқару. Фред Коэн және Қауымдастырушылар. All.net. 2013 жылдың 31 қаңтарында алынды.
  18. ^ Ян, Дж .; Блэквелл, А .; Андерсон, Р .; Грант, А. (2004). «Құпия сөздің есте қалуы және қауіпсіздігі: эмпирикалық нәтижелер» (PDF). IEEE Security & Privacy журналы. 2 (5): 25. дои:10.1109 / MSP.2004.81. S2CID  206485325.
  19. ^ Стейнберг, Джозеф (2015 ж. 21 сәуір). «Жаңа технологияның жарықтары» күшті «құпия сөз - сізге нені білу керек». Forbes.
  20. ^ «CERT IN-98.03». Алынған 9 қыркүйек, 2009.
  21. ^ «Тұтынушының паролі туралы ең нашар тәжірибелер» (PDF).
  22. ^ «НАТО-ға шабуыл». Алынған 24 шілде, 2011.
  23. ^ «Антисекцияға соңғы шабуыл кезінде 90 мың әскери пошта тіркелгісі жасырын аталды». 2011 жылғы 11 шілде.
  24. ^ «Әскери парольді талдау». 2011 жылғы 12 шілде.
  25. ^ «Microsoft-тің 123456-ға Hotmail-ге тыйым салуы». Имперва. 18 шілде 2011. мұрағатталған түпнұсқа 2012 жылғы 27 наурызда.
  26. ^ Әнші, Абэ (қараша 2001). «Ашық мәтіндік пароль жоқ» (PDF). Кіру. 26 (7): 83-91. Архивтелген түпнұсқа (PDF) 2006 жылы 24 қыркүйекте.
  27. ^ Майкрософттың туннельдік нүктеден протоколға арналған криптоанализі. Schneier.com (7 шілде 2011). 2013-01-31 аралығында алынды.
  28. ^ Grassi, Paul A (маусым 2017). «SP 800-63B-3 - сандық сәйкестендіру жөніндегі нұсқаулық, аутентификация және өмірлік циклды басқару». NIST. дои:10.6028 / NIST.SP.800-63b. Журналға сілтеме жасау қажет | журнал = (Көмектесіңдер)
  29. ^ Болашаққа бейімделетін пароль схемасы. Usenix.org (2002 ж. 13 наурыз). 2013-01-31 аралығында алынды.
  30. ^ MDCrack FAQ 1.8. Жоқ. 2013 жылдың 31 қаңтарында алынды.
  31. ^ Қазіргі операциялық жүйелер үшін парольден қорғау. Usenix.org. 2013 жылдың 31 қаңтарында алынды.
  32. ^ «Құпия сөздерді шайқау бойынша жарыс». Архивтелген түпнұсқа 2013 жылдың 2 қыркүйегінде. Алынған 3 наурыз, 2013.
  33. ^ NIST SP800-63B 5.1.1.2 бөлімі
  34. ^ «Құпия сөзді бұзатын 10 үздік». Сектоолдар. Алынған 1 қараша, 2009.
  35. ^ «Қауіпсіз болыңыз: пароль бұзушылар қалай жұмыс істейтінін қараңыз - Keeper блогы». Keeper Security блогы - киберқауіпсіздік жаңалықтары және өнім жаңартулары. 2016 жылғы 28 қыркүйек. Алынған 7 қараша, 2020.
  36. ^ Андерсон, Нейт (2013 ж. 24 наурыз). «Мен қалай пароль бұзушы болдым: құпия сөздерді бұзу қазір» скрипт кидди «іс-әрекеті». Ars Technica. Алынған 24 наурыз, 2013.

Сыртқы сілтемелер