Video: Počítačová hesla (Listopad 2024)
Sotva týden uplyne bez zpráv o narušení dat, které odhalí miliony nebo miliardy hesel. Ve většině případů je skutečnou expozicí verze hesla, která byla spuštěna pomocí hashovacího algoritmu, nikoli samotné heslo. Poslední zpráva společnosti Trustwave ukazuje, že hashování nepomůže, když uživatelé vytvářejí hloupá hesla, a že délka je důležitější než složitost hesel.
Hackeři crackují @ u8vRj a R3 * 4h před tím, než crackují StatelyPlumpBuckMulligan nebo ItWasTheBestOfTimes.
Hashing It Out
Myšlenkou hašování je, že zabezpečený web nikdy neukládá heslo uživatele. Spíše ukládá výsledek spuštění hesla pomocí hashovacího algoritmu. Hashing je druh jednosměrného šifrování. Stejný vstup vždy generuje stejný výsledek, ale neexistuje žádný způsob, jak přejít z výsledku zpět k původnímu heslu. Když se přihlásíte, software na straně serveru hashuje to, co jste zadali. Pokud odpovídá uloženému hašiši, jste v.
Problém s tímto přístupem je v tom, že zločinci mají také přístup k algoritmům hashování. Pomocí algoritmu mohou spouštět každou kombinaci znaků pro danou délku hesla a porovnávat výsledky se seznamem odcizených hesel. Pro každý hash, který odpovídá, dekódovali jedno heslo.
V průběhu tisíců testů penetrace sítí v roce 2013 a začátkem roku 2014 shromáždili vědci Trustwave přes 600 000 hashovacích hesel. Pokud na výkonných grafických jednotkách spouští hashovací kód, rozbijí během několika minut přes polovinu hesel. Test pokračoval měsíc, kdy praskli přes 90 procent vzorků.
Hesla - děláte to špatně
Obvyklá moudrost je taková, že heslo obsahující velká písmena, malá písmena, číslice a interpunkční znaménka je obtížné prolomit. Ukázalo se, že to není úplně pravda. Ano, pro zločince by bylo obtížné uhodnout heslo, jako je N ^ a $ 1nG, ale podle Trustwave by to útočník mohl rozbít za méně než čtyři dny. Naopak, praskání dlouhého hesla, jako je GoodLuckGuessingThisPassword, by vyžadovalo téměř 18 let zpracování.
Mnoho oddělení IT vyžaduje hesla obsahující nejméně osm znaků, která obsahují velká písmena, malá písmena a číslice. Zpráva poukazuje na to, že „Heslo1“ bohužel tyto požadavky splňuje. Ne náhodou bylo Password1 nejčastějším jediným heslem ve studované sbírce.
Vědci společnosti TrustWave také zjistili, že uživatelé budou dělat přesně to, co mají, nic víc. Když rozdělili svou sbírku hesel podle délky, zjistili, že téměř polovina byla přesně osm znaků.
Dělej je dlouho
Už jsme to říkali dříve, ale to se opakuje. Čím déle je vaše heslo (nebo přístupové heslo), tím těžší je pro hackery crackovat. Zadejte oblíbenou citaci nebo větu, vynechejte mezery a máte slušnou přístupovou frázi.
Ano, existují další typy trhlin. Spíše než hash každá jednotlivá kombinace znaků, útok slovníku hashuje kombinace známých slov a významně zužuje rozsah vyhledávání. Ale s dostatečně dlouhým heslem by praskání brutální silou trvalo ještě celá staletí.
Celá sestava rozděluje a kostkami data různými způsoby. Například více než 100 000 prasklých hesel se skládalo ze šesti malých písmen a dvou číslic, jako je opice12. Pokud spravujete zásady týkající se hesel nebo pokud se zajímáte pouze o vytvoření lepších hesel pro sebe, určitě stojí za přečtení.
