home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / hacking / bbs / passhack.fxr < prev    next >
Encoding:
Text File  |  2003-06-11  |  6.8 KB  |  158 lines
  1. ----------====================((((((#######))))))====================----------
  2.  
  3.  
  4.                       *********** ****     **** **********
  5.                                      *** ***             ***
  6.                       ***********      ***      **********
  7.                       ***            *** ***    ***      ***
  8.                       ***         ****     **** ***      ***
  9.  
  10.  
  11.        The phollowing is another phine phile oph phacts phrom the Phixer.
  12.  
  13.  
  14.                     --- A Presentation of The Free Press ---
  15.  
  16.  
  17. ----------====================((((((#######))))))====================----------
  18.  
  19.                               The Fixer Presents...
  20.  
  21.  
  22.              This episode: Password Hacking, a Scientific Breakdown.
  23.  
  24.  
  25. First off, I would like to point out that the info in this file is -=> not <=-
  26. to be used to crash a BBS. If I may quote a well known file, only real idiots
  27. crash boards, except when they are run by other real idiots. The info used to
  28. compile this file originally came from a R0dent's efforts at crashing a
  29. popular and well-respected local BBS, for which he (a) was kicked off all
  30. the BBS's in town, and (b) lost pretty much all his friends. For these reasons
  31. I will not name the board that this file is based upon, nor will I mention any
  32. specific usernames.
  33.  
  34.  
  35. OK, Here is a scientific breakdown of the types of passwords that people
  36. generally choose. It is scientific because there were (at the time) 185 users
  37. of the BBS that these figures are drawn from, and therefore a fair deal of
  38. accuracy can be obtained.
  39.  
  40.  
  41. Male first names: 5.4%
  42. Female first names: 4.3%
  43.  
  44. It is interesting to note that these generally are not the names of boyfriends
  45. or girlfriends, as I encountered many male first names being used as passes
  46. by several males, and these were not the users' real names. These guys aren't
  47. queer, they just know that you won't likely think of a male name for their
  48. pass when hacking.
  49.  
  50.  
  51. 4 to 8 letter English words: 47.6%
  52.  
  53. If you put a dictionary hacker program to a given users account, about half
  54. the time you will (eventually) get access. Trouble is, there are around
  55. 50 thousand such words in the language, and the diversity of words I
  56. encountered shows that most of these passes could be anything in the
  57. dictionary. Also,the BBS that this info came from only allows 8-char passwords.
  58. I only encountered a few words that were truncated or abbreviated from longer
  59. than 8 letters.
  60.  
  61.  
  62. Words of 3 letters or less: 8.6%
  63.  
  64. These are the easiest to hack, because there are fewer 3 letter words. This
  65. security laxness shows up in the figures: only 16 of the 185 users used this
  66. kind of PW. Still, if you pick 2 or 3 accounts and hit 'em with a dictionary
  67. hacker of 1 to 3 characters, odds are you will get 2 or 3 accounts.
  68.  
  69.  
  70. Pseudo-Random sequences: 13.0%
  71.  
  72. These included randomly picked letters and/or numbers and/or punctuation. These
  73. are nearly impossible to hack at because of the many millions of possible
  74. combinations. Also included in this category are acronyms, foreign words, and
  75. keyboard sequences, e.g. ZXCVBNM et al.
  76. Statistically, you are best off not bothering to write/use a hacking program
  77. for this type of password, although I should note that it is valid to try some
  78. keyboard sequences manually.
  79.  
  80.  
  81. Special Characters: 3.8%
  82.  
  83. These usually consisted of punctuated words, passes with control characters,
  84. passes with up/down/left/right arrows inserted in them, compound words
  85. separated by a special character (e.g. pass*word) etc. These are also very
  86. difficult and unworthwhile to hack at.
  87.  
  88.  
  89. Contains Users Name: 5.4%
  90.  
  91. Ten of the 185 users of the BBS that our r0dent buddy krashed used either
  92. their pseudo, part of their pseudo, their real name, or a part of their real
  93. name, as a password. When you are manually hacking passwords, this is not
  94. statistically the best thing to hope for, but it is an obvious giveaway, so
  95. it should be one of the first passes you try. It is such an obvious slipup that
  96. if you come across such an account, then the user is an idiot and deserves to
  97. have his account hacked.
  98.  
  99.  
  100. Name of computer equipment: 0.5%
  101.  
  102. Only one user used the name of part of his system (a radio shack dmp series
  103. printer) as a password. This was surprising to me because this sort of password
  104. would be difficult to hack at because computer peripheral names usually look
  105. like the above mentioned pseudo-random sequences, and yet would be easy for the
  106. user to remember (after all, his pass would be right there embossed into his
  107. computer's case, and no-one would suspect that as a password if they visited
  108. his system). This scheme may grow in popularity; until it does don't bother
  109. hacking this type of pass. (if, say, 5-10% of users did this sort of thing,
  110. then it would be easy to hack a pass of this type; just find out what
  111. computer and peripherals the guy has).
  112.  
  113.  
  114. A Number: 3.8%
  115.  
  116. Seven users used a 3 to 8 digit number as a password. The most common number
  117. of digits was 4, and many of these started with 19 (i.e. the name of a year).
  118. If you know a bit about the person whose account you are hacking, try the
  119. year he got married, the year he was born, the year his kid was born, the
  120. year he graduated high-school, the year of his car or "hog". You may even try
  121. this year.
  122.  
  123.  
  124. 2 Or More Words: 7.6%
  125.  
  126. If the system you are hacking only allows 8 character passwords, you may still
  127. encounter a lot of 2-word passes (7.6% as above) but these are somewhat hard
  128. to hack. Sometimes the user puts a space between the words, sometimes he
  129. doesn't. You would need a specialized dictionary hacker program to have any
  130. success at this type of pass.
  131.  
  132.  
  133.  
  134.  
  135. Well, I hope that helps you find a few accounts. There are two points I would
  136. like to re-inforce: (1) again, never try crashing a BBS, even though the info
  137. in this file came directly from a BBS's userlog. (2) Repeated hacking at a
  138. password is very visible to a sysop; only do it late at nite when he is home
  139. asleep. Also, this is the most basic form of password theft there is. It is
  140. the most difficult and slowest way to get a password in the hacking world, and
  141. generally only beginning hackers use this kind of technique. But at least those
  142. who hack this way are out getting their own accounts, rather than r0dentially
  143. leaching off of boards.........
  144.  
  145.  
  146. Some common passes before I go:
  147.  
  148. love, sex, secret, password, kill, death, mega, alpha, beta, gamma, delta,
  149. number 1, drugs, beer, god, fuck, shit, <first names>, <music groups>, <clubs>,
  150. <own first name>, <same as account number>, <sysop's name> ad nausaeum.
  151.  
  152.  
  153. -------------------------------------------------------------------------------
  154. Call: Heart of Gold (604) 658-1581...10 mg Online, AE, BBS.....................
  155. -------------------------------------------------------------------------------
  156.  
  157.  
  158.