Video: Белорусская Старка как лекарственное средство. (September 2024)
Det går knappt en vecka utan nyheter om ett dataintrång som visar miljoner eller miljarder lösenord. I de flesta fall är det som faktiskt utsätts en version av lösenordet som har körts genom en hashningsalgoritm, inte själva lösenordet. Den senaste rapporten från Trustwave visar att hashing inte hjälper när användare skapar dumma lösenord, och att längden är viktigare än komplexiteten i lösenord.
Hackare kommer att spricka @ u8vRj & R3 * 4h innan de knäcker StatelyPlumpBuckMulligan eller ItWasTheBestOfTimes.
Hashing It Out
Tanken bakom hashing är att den säkra webbplatsen aldrig lagrar användarens lösenord. Snarare lagras det resultatet av att köra lösenordet genom en hashningsalgoritm. Hashing är en slags envägskryptering. Samma ingång genererar alltid samma resultat, men det finns inget sätt att gå från resultatet tillbaka till det ursprungliga lösenordet. När du loggar in har serversidan mjukvaran vad du har angett. Om det stämmer överens med den sparade hash, är du i.
Problemet med detta tillvägagångssätt är att skurkarna också har tillgång till hash-algoritmer. De kan köra alla kombinationer av tecken för en given lösenordslängd genom algoritmen och matcha resultaten mot en lista med stulna hash-lösenord. För varje hash som matchar har de avkodat ett lösenord.
Under tusentals nätpenetrationstester 2013 och början av 2014 samlade Trustwave-forskare över 600 000 hashade lösenord. Kör haschkrackningskod på kraftfulla GPU: er och knäckte över hälften av lösenorden på några minuter. Testet fortsatte i en månad, då de hade knäckt över 90 procent av proverna.
Lösenord - du gör det fel
Vanlig visdom anser att ett lösenord som innehåller stora bokstäver, små bokstäver, siffror och skiljetecken är svårt att knäcka. Det visar sig att det inte är helt sant. Ja, det skulle vara svårt för en malefactor att gissa ett lösenord som N ^ a & $ 1nG, men enligt Trustwave kan en angripare knäcka det på mindre än fyra dagar. Däremot kräver nästan 18 års bearbetning att knäcka ett långt lösenord som GoodLuckGuessingThisPassword.
Många IT-avdelningar kräver lösenord på minst åtta tecken, som innehåller stora bokstäver, små bokstäver och siffror. Rapporten påpekar att "lösenord1" tyvärr uppfyller dessa krav. Inte slumpvis var lösenord1 det vanligaste enskilda lösenordet i samlingen som studerades.
TrustWaves forskare fann också att användare kommer att göra exakt vad de är skyldiga att göra, inte mer. Genom att dela upp lösenordssamlingen efter längd fann de att nästan hälften var exakt åtta tecken.
Gör dem långa
Vi har sagt detta tidigare, men det upprepas. Ju längre ditt lösenord (eller lösenfras) desto svårare är det för hackare att knäcka det. Skriv in en favoritcitat eller mening, utelämna mellanslag och du har en anständig lösenfras.
Ja, det finns andra typer av sprickattacker. I stället för att hash varje enskild kombination av tecken, en ordbok attack hashes kombinationer av kända ord, vilket begränsar sökningen omfattande. Men med ett tillräckligt länge lösenord skulle spräckkraftssprickor fortfarande ta århundraden.
Den fullständiga rapporten skivar och tärnar uppgifterna på olika sätt. Till exempel bestod över 100 000 av de knäckta lösenorden av sex små bokstäver och två siffror, som apa12. Om du hanterar lösenordspolicyn, eller om du bara är intresserad av att skapa bättre lösenord för dig själv, är det definitivt värt att läsa.
