openPGP в России/Библиотека/Статьи/СовременнаяТехникаВзломаПаролей

openPGP в России/Библиотека/Статьи/СовременнаяТехникаВзломаПаролей http://www.pgpru.com/%C1%E8%E1%EB%E8%EE%F2%E5%EA%E0/%D1%F2%E0%F2%FC%E8/%D1%EE%E2%F0%E5%EC%E5%ED%ED%E0%FF%D2%E5%F5%ED%E8%EA%E0%C2%E7%EB%EE%EC%E0%CF%E0%F0%EE%EB%E5%E9 История изменений документа Библиотека/Статьи/СовременнаяТехникаВзломаПаролей http://www.pgpru.com/%CF%F0%EE%E5%EA%F2/%CF%F0%E0%E2%E8%EB%E0 ru openPGP в России http://www.pgpru.com/ http://www.pgpru.com/images/pgpru_banner.gif 88 31 Редакция от 14/01/2007 00:16 http://www.pgpru.com/%25c1%25e8%25e1%25eb%25e8%25ee%25f2%25e5%25ea%25e0/%25d1%25f2%25e0%25f2%25fc%25e8/%25d1%25ee%25e2%25f0%25e5%25ec%25e5%25ed%25ed%25e0%25ff%25d2%25e5%25f5%25ed%25e8%25ea%25e0%25c2%25e7%25eb%25ee%25ec%25e0%25cf%25e0%25f0%25ee%25eb%25e5%25e9/show?time=2007-01-14+00%3A16%3A57 http://www.pgpru.com/%25c1%25e8%25e1%25eb%25e8%25ee%25f2%25e5%25ea%25e0/%25d1%25f2%25e0%25f2%25fc%25e8/%25d1%25ee%25e2%25f0%25e5%25ec%25e5%25ed%25ed%25e0%25ff%25d2%25e5%25f5%25ed%25e8%25ea%25e0%25c2%25e7%25eb%25ee%25ec%25e0%25cf%25e0%25f0%25ee%25eb%25e5%25e9

Сравнение редакций документа Библиотека / Статьи / Современная Техника Взлома Паролей от 14/01/2007 00:16 и 15/05/2007 21:11

Удалено:

Добавлено:

]]> Sun, 14 Jan 2007 00:16:57 +0300 Редакция от 13/01/2007 23:05 http://www.pgpru.com/%25c1%25e8%25e1%25eb%25e8%25ee%25f2%25e5%25ea%25e0/%25d1%25f2%25e0%25f2%25fc%25e8/%25d1%25ee%25e2%25f0%25e5%25ec%25e5%25ed%25ed%25e0%25ff%25d2%25e5%25f5%25ed%25e8%25ea%25e0%25c2%25e7%25eb%25ee%25ec%25e0%25cf%25e0%25f0%25ee%25eb%25e5%25e9/show?time=2007-01-13+23%3A05%3A15 http://www.pgpru.com/%25c1%25e8%25e1%25eb%25e8%25ee%25f2%25e5%25ea%25e0/%25d1%25f2%25e0%25f2%25fc%25e8/%25d1%25ee%25e2%25f0%25e5%25ec%25e5%25ed%25ed%25e0%25ff%25d2%25e5%25f5%25ed%25e8%25ea%25e0%25c2%25e7%25eb%25ee%25ec%25e0%25cf%25e0%25f0%25ee%25eb%25e5%25e9

Сравнение редакций документа Библиотека / Статьи / Современная Техника Взлома Паролей от 13/01/2007 23:05 и 14/01/2007 00:16

Удалено:

Современные средства автономного перебора одновременно быстры и умны. AccessData продает Password Recovery Toolkit, или PRTK. В зависимости от взламываемой программы PRTK способна проверять до сотен тысяч паролей в секунду, при этом вначале она тестирует наиболее распространенные и уже затем переходит к более сложным.
AccessData's secret sauce is the order in which it runs the various root and appendage dictionary combinations. The company's research indicates that the password sweet spot is a seven- to nine-character root plus a common appendage, and that it's much more likely for someone to choose a hard-to-guess root than an uncommon appendage.
Normally, PRTK runs on a network of computers. Password guessing is a trivially distributable task, and it can easily run in the background. A large organization like the Secret Service can easily have hundreds of computers chugging away at someone's password. A company called Tableau is building a specialized FPGA hardware add-on to speed up PRTK for slow programs like PGP and WinZip: roughly a 150- to 300-times performance increase.
How good is all of this? Eric Thompson estimates that with a couple of weeks' to a month's worth of time, his software breaks 55 percent to 65 percent of all passwords. (This depends, of course, very heavily on the application.) Those results are good, but not great.
But that assumes no biographical data. Whenever it can, AccessData collects whatever personal information it can on the subject before beginning. If it can see other passwords, it can make guesses about what types of passwords the subject uses. How big a root is used? What kind of root? Does he put appendages at the end or the beginning? Does he use substitutions? ZIP codes are common appendages, so those go into the file. So do addresses, names from the address book, other passwords and any other personal information. This data ups PRTK's success rate a bit, but more importantly it reduces the time from weeks to days or even hours.
So if you want your password to be hard to guess, you should choose something not on any of the root or appendage lists. You should mix upper and lowercase in the middle of your root. You should add numbers and symbols in the middle of your root, not as common substitutions. Or drop your appendage in the middle of your root. Or use two roots with an appendage in the middle.
Even something lower down on PRTK's dictionary list — the seven-character phonetic pattern dictionary — together with an uncommon appendage, is not going to be guessed. Neither is a password made up of the first letters of a sentence, especially if you throw numbers and symbols in the mix. And yes, these passwords are going to be hard to remember, which is why you should use a program like the free and open-source Password Safe to store them all in. (PRTK can test only 900 Password Safe 3.0 passwords per second.)
Even so, none of this might actually matter. AccessData sells another program, Forensic Toolkit, that, among other things, scans a hard drive for every printable character string. It looks in documents, in the Registry, in e-mail, in swap files, in deleted space on the hard drive ... everywhere. And it creates a dictionary from that, and feeds it into PRTK.
And PRTK breaks more than 50 percent of passwords from this dictionary alone.
What's happening is that the Windows operating system's memory management leaves data all over the place in the normal course of operations. You'll type your password into a program, and it gets stored in memory somewhere. Windows swaps the page out to disk, and it becomes the tail end of some file. It gets moved to some far out portion of your hard drive, and there it'll sit forever. Linux and Mac OS aren't any better in this regard.
I should point out that none of this has anything to do with the encryption algorithm or the key length. A weak 40-bit algorithm doesn't make this attack easier, and a strong 256-bit algorithm doesn't make it harder. These attacks simulate the process of the user entering the password into the computer, so the size of the resultant key is never an issue.
For years, I have said that the easiest way to break a cryptographic product is almost never by breaking the algorithm, that almost invariably there is a programming error that allows you to bypass the mathematics and break the product. A similar thing is going on here. The easiest way to guess a password isn't to guess it at all, but to exploit the inherent insecurity in the underlying operating system.

Добавлено:

Современные средства автономного перебора одновременно быстры и умны. AccessData продает Password Recovery Toolkit (Пакет восстановления паролей), или PRTK. В зависимости от взламываемой программы PRTK способна проверять до сотен тысяч паролей в секунду, при этом вначале она тестирует наиболее распространенные и уже затем переходит к более сложным.
Фирменный соус AccessData — это последовательность, в которой программа проверяет различные комбинации словарей корней и дополнений. Исследования, проведенные компанией, показали, что лидером популярности паролей является семи-девятизначный корень плюс одно из распространенных дополнений, причем более вероятно, что человек выберет непредсказуемый корень, нежели необычное дополнение.
Как правило, PRTK работает на сети компьютеров. Взлом паролей — это элементарно распараллеливаемая задача, к тому же легко выполняемая в фоновом процессе. В крупной организации типа Секретной Службы сотни компьютеров могут пыхтеть над чьим-то паролем. Фирма под названием Tableau разрабатывает специализированную FPGA-микросхему, предназначенную для аппаратного ускорения работы PRTK с такими "медленными программами", как PGP и WinZip: по грубым оценкам, в 150-300 раз.
Насколько все это круто? По оценкам Эрика Томпсона, за время от пары недель до месяца его программа способна взломать от 55% до 65% всех паролей. (Разумеется, это очень существенно зависит от атакуемого приложения.) Это хорошие, но не сногсшибательные результаты.
Однако, лишь при отсутствии личных и биографических данных. При всякой возможности AccessData собирает любую доступную личную информацию по объекту атаки перед началом работы. Если она может просмотреть другие пароли, то может предположить, какие типы паролей предпочитает человек. Насколько крупный он использует корень? Какой вид корня? Куда он ставит дополнение, в начало или в конец? Использует ли символьные подстановки? Почтовые индексы являются распространенными дополнениями, так что они тоже идут в файл. Так же как и адреса, имена из адресной книги, другие пароли и все прочие приватные данные. Вся эта информация несколько повышает процент успеха PRTK, но, что более важно, сокращает время поиска с недель до дней и даже часов.
Теперь, если вы хотите, чтобы ваш пароль было трудно подобрать, следует выбирать нечто, чего нет ни в одном словаре корней и дополнений. Нужно смешивать заглавные и строчные буквы в середине корня. Нужно вставлять цифры и знаки в середину корня, причем не в качестве распространенных подстановок. Либо вы должны переместить дополнение в середину корня. Или использовать два корня с дополнением посередине.
Даже что-нибудь из менее приоритетных словарных вариантов PRTK — семизначная фонетическая конструкция совместно с необычным дополнением — едва ли будет угадана. Равно, как пароль, составленный из первых букв предложения, особенно если в такую мешанину добавить символы и цифры. Да, конечно, такие пароли трудно запомнить, поэтому для их хранения вам следует пользоваться такой программой, как бесплатный и открытый Password Safe. (Кстати, PRTK способна тестировать только 900 паролей Password Safe 3.0 в секунду.)
Но даже если так, это все равно может вам не помочь. AccessData продает еще одну программу, Forensic Toolkit (Экспертно-следственный пакет), которая, помимо всего прочего, сканирует жесткий диск на предмет любых строк печатного текста. Она просматривает документы, системный реестр, почтовый архив, своп-файлы, свободное пространство диска... абсолютно всё. А затем формирует из всего найденного словарь, который скармливает PRTK.
И PRTK взламывает более 50% паролей лишь по одному такому словарю.
Так происходит потому, что подсистема управления памятью ОС Windows в процессе обычной работы оставляет фрагменты данных повсюду. Вы вводите пароль в программу, и он размещается где-то в памяти. Windows выгружает страницу памяти на диск, и она сохраняется в хвосте какого-то файла. Она перемещается в дальний угол вашего жесткого диска и остается там навечно. Linux и MacOS в этом отношении едва-ли сколь-нибудь лучше.
Я должен отметить, что все сказанное не имеет ничего общего с алгоритмом шифрования и длиной ключа. Слабый 40-битовый алгоритм не делает эти атаки проще, а стойкий 256-битовый алгоритм нисколько их не усложняет. Описанные атаки симулируют процесс ввода пользователем своего пароля, поэтому итоговый размер ключа не играет никакой роли.
Многие годы я повторял, что наиболее легкий способ атаковать криптографическую программу практически никогда не связан со взломом алгоритма, поскольку почти неизбежно в ней присутствует программная ошибка, позволяющая вам обойти математику и взломать софт. Похожая ситуация происходит и здесь. Самый простой способ узнать пароль — это даже не заниматься его подбором, а использовать сущностные недостатки самой операционной системы.

]]> Sat, 13 Jan 2007 23:05:15 +0300 Редакция от 13/01/2007 22:58 http://www.pgpru.com/%25c1%25e8%25e1%25eb%25e8%25ee%25f2%25e5%25ea%25e0/%25d1%25f2%25e0%25f2%25fc%25e8/%25d1%25ee%25e2%25f0%25e5%25ec%25e5%25ed%25ed%25e0%25ff%25d2%25e5%25f5%25ed%25e8%25ea%25e0%25c2%25e7%25eb%25ee%25ec%25e0%25cf%25e0%25f0%25ee%25eb%25e5%25e9/show?time=2007-01-13+22%3A58%3A05 http://www.pgpru.com/%25c1%25e8%25e1%25eb%25e8%25ee%25f2%25e5%25ea%25e0/%25d1%25f2%25e0%25f2%25fc%25e8/%25d1%25ee%25e2%25f0%25e5%25ec%25e5%25ed%25ed%25e0%25ff%25d2%25e5%25f5%25ed%25e8%25ea%25e0%25c2%25e7%25eb%25ee%25ec%25e0%25cf%25e0%25f0%25ee%25eb%25e5%25e9

Сравнение редакций документа Библиотека / Статьи / Современная Техника Взлома Паролей от 13/01/2007 22:58 и 13/01/2007 23:05

Удалено:

Некоторые прикладные программы содержат процедуры, предназначенные для намеренного замедления подбора паролей. Хорошие шифровальные средства не используют ваш пароль непосредственно как ключ шифрования; в них реализован процесс, преобразующий пароль в криптографический ключ. И программа может сделать этот процесс настолько медленным, насколько пожелает.
Результаты налицо. Microsoft Office, к примеру, имеет простейшую схему преобразования пароля в ключ, так что PRTK может проверять по 350.000 паролей Microsoft Word в секунду, работая на 3 ГГц Pentium 4, являющимся на сегодня эталонным ПК. А WinZip и того хуже — свыше миллиона проверок в секунду для версии 7.0, однако с версии 9.0 криптографическая замедляющая функция стала значительно лучше: PRTK может пробовать лишь 900 паролей в секунду. PGP тоже сильно усложняет жизнь для программ вроде PRTK, так же допуская порядка 900 проверок в секунду.
При взломе программ с намеренно замедленными функциями важно, чтобы ни одна попытка не прошла даром. Простая атака полным перебором на шестизначный пароль из строчных букв, от "aaaaaa" до "zzzzzz", потребует более 308 миллионов комбинаций. Это совершенно нерационально, поскольку большую часть времени программа будет тестировать маловероятные пароли типа "pqzrwj".
Итак, первая атака, которую предпринимает PRTK, — это проверка словаря из примерно 1.000 распространенных паролей, чего-то вроде "letmein", "password", "123456" и т.п. Затем, она тестирует их же с сотней дополнительных часто встречающихся окончаний: "1", "4u", "69", "abc", "!" и пр. Хотите верьте, хотите нет, но одни эти 100.000 комбинаций восстанавливают порядка 24% паролей.
Кроме того, PRTK производит полный перебор всех четырехзначных строк; она прогоняет словари со всеми строчными буквами (что наиболее распространено), с первой заглавной (второй по распространенности случай), со всеми заглавными и с последней заглавной; она проверяет словари с распространенными подстановками: "$" вместо "s", "@" вместо "a", "1" вместо "l" и т.д., включая даже "l33t-speak" с цифрой "3" вместо "e".

Добавлено:

Некоторые прикладные программы содержат процедуры, предназначенные для намеренного замедления подбора паролей. Хорошие шифровальные средства не используют ваш пароль непосредственно как ключ шифрования; в них реализован процесс, преобразующий пароль в криптографический ключ. И программа может сделать этот процесс настолько медленным, насколько захочет.
Результаты налицо. Microsoft Office, к примеру, имеет простейшую схему преобразования пароля в ключ, так что PRTK может проверять по 350.000 паролей Microsoft Word в секунду, работая на 3 ГГц Pentium 4, являющимся на сегодня эталонным ПК. А WinZip и того хуже — свыше миллиона проверок в секунду для версии 7.0, правда с версии 9.0 криптографическая замедляющая функция стала значительно лучше: PRTK может пробовать лишь 900 паролей в секунду. PGP тоже сильно усложняет жизнь для программ вроде PRTK, так же допуская порядка 900 проверок в секунду.
При взломе программ с намеренно замедленными функциями важно, чтобы ни одна попытка не прошла даром. Простая атака полным перебором на шестизначный пароль из строчных букв, от "aaaaaa" до "zzzzzz", потребует более 308 миллионов комбинаций. Это совершенно нерационально, поскольку большую часть времени программа будет тестировать маловероятные пароли типа "pqzrwj".
Итак, первая атака, которую предпринимает PRTK, — это проверка словаря из примерно 1.000 распространенных паролей, чего-то вроде "letmein", "password", "123456" и т.п. Затем, она тестирует их же с сотней дополнительных часто встречающихся окончаний: "1", "4u", "69", "abc", "!" и пр. Хотите верьте, хотите нет, но одни эти 100.000 комбинаций восстанавливают порядка 24% паролей.
Кроме того, PRTK производит полный перебор всех четырехзначных строк; она прогоняет словари со всеми строчными буквами (что наиболее распространено), с первой заглавной (второй по распространенности случай), со всеми заглавными и с последней заглавной; она проверяет словари с распространенными подстановками: "$" вместо "s", "@" вместо "a", "1" вместо "l" и т.д., включая даже "l33t-speak" с цифрой "3" вместо "e".

]]> Sat, 13 Jan 2007 22:58:05 +0300 Редакция от 12/01/2007 21:52 http://www.pgpru.com/%25c1%25e8%25e1%25eb%25e8%25ee%25f2%25e5%25ea%25e0/%25d1%25f2%25e0%25f2%25fc%25e8/%25d1%25ee%25e2%25f0%25e5%25ec%25e5%25ed%25ed%25e0%25ff%25d2%25e5%25f5%25ed%25e8%25ea%25e0%25c2%25e7%25eb%25ee%25ec%25e0%25cf%25e0%25f0%25ee%25eb%25e5%25e9/show?time=2007-01-12+21%3A52%3A22 http://www.pgpru.com/%25c1%25e8%25e1%25eb%25e8%25ee%25f2%25e5%25ea%25e0/%25d1%25f2%25e0%25f2%25fc%25e8/%25d1%25ee%25e2%25f0%25e5%25ec%25e5%25ed%25ed%25e0%25ff%25d2%25e5%25f5%25ed%25e8%25ea%25e0%25c2%25e7%25eb%25ee%25ec%25e0%25cf%25e0%25f0%25ee%25eb%25e5%25e9

Сравнение редакций документа Библиотека / Статьи / Современная Техника Взлома Паролей от 12/01/2007 21:52 и 13/01/2007 22:58

Удалено:

Атака, которую я буду рассматривать, — это автономный подбор пароля. Эта атака основывается на том, что взломщик либо располагает зашифрованной копией вашего документа, либо имеет зашифрованный файл паролей сервера и может тестировать пароли так быстро, насколько это для него возможно. Бывают случаи, когда подобная атака лишена смысла. В частности, банковские карты достаточно защищены, даже несмотря на всего лишь четырехзначный PIN-код, поскольку вы не можете провести автономный подбор пароля. А полиция с большей вероятностью получит ордер для доступа к вашему почтовому ящику на Hotmail, нежели будет морочиться со взломом пароля. Система депонирования ключа в вашей шифровальной программе наверняка более уязвима, чем ваш пароль, так же, как и любые "секретные вопросы", которые вы установили на случай, если забудете основной пароль.
Современные средства автономного перебора одновременно быстры и умны. AccessData продает Password Recovery Toolkit, или PRTK. В зависимости от взламываемой программы PRTK способна проверять до сотен тысяч паролей в секунду, при этом вначале она тестирует наиболее распространенные и уже затем переходит к более сложным.
The results are all over the map. Microsoft Office, for example, has a simple password-to-key conversion, so PRTK can test 350,000 Microsoft Word passwords per second on a 3-GHz Pentium 4, which is a reasonably current benchmark computer. WinZip used to be even worse — well over a million guesses per second for version 7.0 — but with version 9.0, the cryptosystem's ramp-up function has been substantially increased: PRTK can only test 900 passwords per second. PGP also makes things deliberately hard for programs like PRTK, also only allowing about 900 guesses per second.
When attacking programs with deliberately slow ramp-ups, it's important to make every guess count. A simple six-character lowercase exhaustive character attack, "aaaaaa" through "zzzzzz," has more than 308 million combinations. And it's generally unproductive, because the program spends most of its time testing improbable passwords like "pqzrwj."
According to Eric Thompson of AccessData, a typical password consists of a root plus an appendage. A root isn't necessarily a dictionary word, but it's something pronounceable. An appendage is either a suffix (90 percent of the time) or a prefix (10 percent of the time).
So the first attack PRTK performs is to test a dictionary of about 1,000 common passwords, things like "letmein," "password," "123456" and so on. Then it tests them each with about 100 common suffix appendages: "1," "4u," "69," "abc," "!" and so on. Believe it or not, it recovers about 24 percent of all passwords with these 100,000 combinations.
Then, PRTK goes through a series of increasingly complex root dictionaries and appendage dictionaries. The root dictionaries include:

- Common word dictionary: 5,000 entries
- Names dictionary: 10,000 entries
- Comprehensive dictionary: 100,000 entries
- Phonetic pattern dictionary: 1/10,000 of an exhaustive character search

The phonetic pattern dictionary is interesting. It's not really a dictionary; it's a Markov-chain routine that generates pronounceable English-language strings of a given length. For example, PRTK can generate and test a dictionary of very pronounceable six-character strings, or just-barely pronounceable seven-character strings. They're working on generation routines for other languages.
PRTK also runs a four-character-string exhaustive search. It runs the dictionaries with lowercase (the most common), initial uppercase (the second most common), all uppercase and final uppercase. It runs the dictionaries with common substitutions: "$" for "s," "@" for "a," "1" for "l" and so on. Anything that's "leet speak" is included here, like "3" for "e."
The appendage dictionaries include things like:

- All two-digit combinations
- All dates from 1900 to 2006
- All three-digit combinations
- All single symbols
- All single digit, plus single symbol
- All two-symbol combinations

Добавлено:

Атака, которую я буду рассматривать, — это автономный подбор пароля. Эта атака основывается на том, что взломщик либо располагает зашифрованной копией вашего документа, либо имеет зашифрованный файл паролей сервера и может тестировать пароли так быстро, насколько это для него возможно. Бывают случаи, когда подобная атака бессмысленна. В частности, банковские карты достаточно защищены, даже несмотря на всего лишь четырехзначный PIN-код, поскольку вы не можете перебирать его автономно. А полиция с большей вероятностью получит ордер для доступа к вашему почтовому ящику на Hotmail, нежели будет морочиться со взломом пароля. Система депонирования ключа в вашей шифровальной программе наверняка более уязвима, чем ваш пароль, так же, как и любые "секретные вопросы", которые вы установили на случай, если забудете основной пароль.
Современные средства автономного перебора одновременно быстры и умны. AccessData продает Password Recovery Toolkit, или PRTK. В зависимости от взламываемой программы PRTK способна проверять до сотен тысяч паролей в секунду, при этом вначале она тестирует наиболее распространенные и уже затем переходит к более сложным.
Результаты налицо. Microsoft Office, к примеру, имеет простейшую схему преобразования пароля в ключ, так что PRTK может проверять по 350.000 паролей Microsoft Word в секунду, работая на 3 ГГц Pentium 4, являющимся на сегодня эталонным ПК. А WinZip и того хуже — свыше миллиона проверок в секунду для версии 7.0, однако с версии 9.0 криптографическая замедляющая функция стала значительно лучше: PRTK может пробовать лишь 900 паролей в секунду. PGP тоже сильно усложняет жизнь для программ вроде PRTK, так же допуская порядка 900 проверок в секунду.
При взломе программ с намеренно замедленными функциями важно, чтобы ни одна попытка не прошла даром. Простая атака полным перебором на шестизначный пароль из строчных букв, от "aaaaaa" до "zzzzzz", потребует более 308 миллионов комбинаций. Это совершенно нерационально, поскольку большую часть времени программа будет тестировать маловероятные пароли типа "pqzrwj".
По словам Эрика Томпсона из AccessData, обычный пароль состоит из корня и дополнения. Корень — не обязательно словарное слово, но все же нечто произносимое. Дополнение — это либо окончание (в 90% случаев), либо приставка (10% случаев).
Итак, первая атака, которую предпринимает PRTK, — это проверка словаря из примерно 1.000 распространенных паролей, чего-то вроде "letmein", "password", "123456" и т.п. Затем, она тестирует их же с сотней дополнительных часто встречающихся окончаний: "1", "4u", "69", "abc", "!" и пр. Хотите верьте, хотите нет, но одни эти 100.000 комбинаций восстанавливают порядка 24% паролей.
Затем PRTK применяет ряд более сложных словарей корней и дополнений. Эти словари включают:

Словарь общеупотребимых слов: 5.000 слов
Словарь имен собственных: 10.000 слов
Полный словарь: 100.000 слов
Словарь фонетических конструкций: 1/10.000 от числа комбинаций полного перебора

Словарь фонетических конструкций весьма занятен. Это не совсем словарь; это схема цепочек Маркова, которая генерирует произносимые англоязычные строки данной длины. Например, PRTK способна сгенерировать и проверить словарь всех произносимых шестизначных строк или всех едва произносимых семизначных строк. Сейчас они работают над механизмами генерации для других языков.
Кроме того, PRTK производит полный перебор всех четырехзначных строк; она прогоняет словари со всеми строчными буквами (что наиболее распространено), с первой заглавной (второй по распространенности случай), со всеми заглавными и с последней заглавной; она проверяет словари с распространенными подстановками: "$" вместо "s", "@" вместо "a", "1" вместо "l" и т.д., включая даже "l33t-speak" с цифрой "3" вместо "e".
Словари дополнений содержат такие компоненты:

Все двузначные цифровые комбинации
Все даты с 1900 по 2006
Все трехзначные цифровые комбинации
Все одиночные символы
Все комбинации из одной цифры плюс одиночного символа
Все двузначные комбинации символов

]]> Fri, 12 Jan 2007 21:52:22 +0300