Video: Prolomení hesla Wi-Fi sítě (November 2024)
Sotva týždeň uplynie správa o narušení údajov, ktoré odhalí milióny alebo miliardy hesiel. Vo väčšine prípadov je to, čo je skutočne vystavené, verzia hesla, ktorá bola spustená pomocou hashovacieho algoritmu, nie samotné heslo. Posledná správa spoločnosti Trustwave ukazuje, že hashovanie nepomáha, keď používatelia vytvárajú hlúpe heslá, a táto dĺžka je dôležitejšia ako zložitosť hesiel.
Hackeri crackujú @ u8vRj a R3 * 4h predtým, ako crackujú StatelyPlumpBuckMulligan alebo ItWasTheBestOfTimes.
Hashing It Out
Myšlienka hashovania spočíva v tom, že zabezpečená webová stránka nikdy neuchováva heslo používateľa. Skôr uloží výsledok spustenia hesla pomocou algoritmu hashovania. Hashing je druh jednosmerného šifrovania. Rovnaký vstup vždy generuje rovnaký výsledok, ale neexistuje žiadny spôsob, ako sa vrátiť od výsledku späť k pôvodnému heslu. Keď sa prihlásite, softvér na strane servera hashuje to, čo ste zadali. Ak sa zhoduje s uloženým hashom, ste v.
Problém s týmto prístupom je v tom, že zlodeji majú tiež prístup k algoritmom hashovania. Pomocou algoritmu môžu spúšťať každú kombináciu znakov pre danú dĺžku hesla a porovnávať výsledky so zoznamom ukradnutých hesiel hesiel. Pre každé hash, ktoré sa zhodujú, dekódovali jedno heslo.
V priebehu tisícok testov prieniku do siete v roku 2013 a začiatkom roku 2014 vedci Trustwave zhromaždili viac ako 600 000 hesiel hash. Spustením kódu hash na výkonných GPU praskli v priebehu niekoľkých minút viac ako polovicu hesiel. Test pokračoval mesiac, kedy praskli viac ako 90 percent vzoriek.
Heslá - robíte to zle
Bežná múdrosť si myslí, že heslo obsahujúce veľké písmená, malé písmená, číslice a interpunkciu je ťažké prelomiť. Ukazuje sa, že to nie je úplne pravda. Áno, pre zločinca by bolo ťažké uhádnuť heslo, ako je N ^ a $ 1nG, ale podľa spoločnosti Trustwave by útočník mohol toto crackovať za menej ako štyri dni. Naopak, praskanie zdĺhavého hesla ako GoodLuckGuessingThisPassword by vyžadovalo takmer 18 rokov spracovania.
Mnoho IT oddelení vyžaduje heslá s najmenej ôsmimi znakmi, ktoré obsahujú veľké písmená, malé písmená a číslice. Správa zdôrazňuje, že „Heslo1“, žiaľ, spĺňa tieto požiadavky. Nie náhodou bolo Heslo1 najbežnejším jednotným heslom v skúmanej zbierke.
Vedci spoločnosti TrustWave tiež zistili, že používatelia budú robiť presne to, čo musia, nič viac. Po rozdelení hesla podľa dĺžky zistili, že takmer polovica predstavovala presne osem znakov.
Nech sú dlhé
Už sme to už povedali, ale opakuje sa. Čím dlhšie je vaše heslo (alebo prístupové frázy), tým ťažšie je pre hackerov crackovať. Zadajte obľúbenú ponuku alebo vetu, vynechajte medzery a máte slušnú prístupovú frázu.
Áno, existujú aj iné typy krakovacích útokov. Namiesto hash každej jednotlivej kombinácie znakov, slovníkový útok hashuje kombinácie známych slov, čím sa rozsah vyhľadávania výrazne zužuje. Ale s dostatočne dlhým heslom by praskanie hrubou silou trvalo ešte storočia.
Celá zostava rozdeľuje a kockuje údaje rôznymi spôsobmi. Napríklad viac ako 100 000 prasknutých hesiel pozostávalo zo šiestich malých písmen a dvoch číslic, napríklad opice12. Ak spravujete zásady týkajúce sa hesiel alebo ak si práve chcete vytvoriť lepšie heslá pre seba, určite si ich musíte prečítať.