Web Mail je direktan login interfejs spolja ka internoj mreži. Obezbeđivanje istog je veoma važno, a razumljiva je i zabrinutost IT managera usled postojećih rizika. Kod Web Mail servera koji nemaju mogućnost forsiranja politika lozinki (password policy), a takvih ima priličan broj verovali ili ne, kontrola kvaliteta lozinki je gotovo nemoguća a opasnost od pogađanja-krekovanja silom ili rečnikom je realna. Međutim, bez obzira na postojeći rizik, iskustvo kaže da pogađanje lozinki nije lak zadatak i da se one retko kad zasnivaju na rečima iz rečnika. Pogađanje metodom sile je gotovo nemoguće izvesti uspešno u praksi jer:
- traje veoma, veoma dugo ukoliko je pass duži od 5,6 karaktera
- guši link
- često postoji zaključavanja naloga posle određenog broja neuspešnih pokušaja
- admin mora da bude slep da ne vidi da neko već 3 dana pokušava da se loguje
- ...
Kako onda uopšte neko pogodi ispravnu lozinku? U 90% slučajeva, lozinka sadrži ime ili prezime korisnika koji se mogu dobiti iz email adrese, eventualno brojeve kao dodatak slovima (123,1234,...), ime firme, domena, a kod privremenih projekata ime projekta, godinu, mesec itd..
U cilju olakšavanja pogađanja lozinki, evo jednog programčića pisanog u Pythonu, koji na osnovu spiska email adresa, bilo iz fajla bilo iz STDIN-a, generiše najverovatnije lozinke.
Napomena:
Krekovanje lozinki bez dozvole vlasnika sistema je zakonom kažnjivo!
Web Mail Password Generator - WMPG v1.0