Video: Găseste parola oricărui router Wi-Fi folosind ingineria socială (Noiembrie 2024)
Aproape o săptămână nu trece fără vești despre o încălcare a datelor care expune milioane sau miliarde de parole. În cele mai multe cazuri, ceea ce este expus de fapt este o versiune a parolei rulată printr-un algoritm de hashing, nu parola în sine. Cel mai recent raport al Trustwave arată că hashing-ul nu ajută atunci când utilizatorii creează parole stupide și că lungimea este mai importantă decât complexitatea în parolele.
Hackerii vor sparge @ u8vRj & R3 * 4 ore înainte de a sparge StatelyPlumpBuckMulligan sau ItWasTheBestOfTimes.
Hashing It Out
Ideea din spatele hashing este că site-ul securizat nu stochează niciodată parola unui utilizator. Mai degrabă, stochează rezultatul rulării parolei printr-un algoritm de hashing. Hashing-ul este un fel de criptare unidirecțională. Aceeași intrare generează întotdeauna același rezultat, dar nu există nicio cale de a trece de la rezultat la parola inițială. Când vă conectați, software-ul din server conține ceea ce ați introdus. Dacă se potrivește cu hash-ul salvat, vă aflați.
Problema acestei abordări este că băieții răi au acces și la algoritmi de hashing. Ele pot rula fiecare combinație de caractere pentru o lungime de parolă dată prin algoritm și pot potrivi rezultatele cu o listă de parole hașate furate. Pentru fiecare hash care se potrivește, au decodat o parolă.
Pe parcursul a mii de teste de penetrare a rețelei în 2013 și la începutul anului 2014, cercetătorii Trustwave au colectat peste 600.000 de parole hashed. Rulând codul de fisurare a hahului pe GPU-uri puternice, acestea au fisurat peste jumătate din parolele în câteva minute. Testul a continuat o lună, moment în care au fisurat peste 90 la sută din probe.
Parole - o faci greșit
Înțelepciunea comună susține că o parolă care conține litere mari, litere mici, cifre și punctuație este greu de spart. Se dovedește că nu este în întregime adevărat. Da, ar fi greu pentru un maleficator să ghicească o parolă de genul N ^ a & $ 1nG, dar, potrivit Trustwave, un atacator ar putea să-l crape pe cel puțin în patru zile. În schimb, crearea unei parole de lungă durată precum GoodLuckGuessingThisPassword ar necesita aproape 18 ani de procesare.
Multe departamente IT necesită parole de cel puțin opt caractere, care conțin litere mari, minuscule și cifre. Raportul subliniază că, din păcate, „Parola1” îndeplinește aceste cerințe. Nu întâmplător, Password1 a fost cea mai comună parolă unică în colecția studiată.
Cercetătorii TrustWave au mai descoperit că utilizatorii vor face exact ceea ce li se cere să facă, nu mai mult. Întrerupând colecția de parole pe lungime, au descoperit că aproape jumătate erau exact opt caractere.
Faceți-le lungi
Am mai spus asta, dar se repetă. Cu cât parola este mai lungă (sau fraza de acces), cu atât este mai dificil pentru hackeri să o spargă. Introduceți un citat sau o propoziție preferată, omitând spațiile și aveți o parolă decentă.
Da, există alte tipuri de atacuri de crăpătură. În loc să contureze fiecare combinație de caractere, un atac de dicționar combină cuvinte cunoscute, reducând în mod semnificativ sfera căutării. Cu o parolă suficient de lungă, fisurarea cu forțe brute ar mai dura secole.
Raportul complet tranșează și taie datele într-o varietate de moduri. De exemplu, peste 100.000 dintre parolele fisurate constau din șase litere mici și două cifre, precum maimuța12. Dacă gestionați politicile de parole sau dacă sunteți interesat (ă) doar de a crea parole mai bune pentru dvs., merită citit cu siguranță.