Како пуцање грубим силама може открити вашу лозинку

Чекић покушава на силу да отвори катанац.


У криптографији напад бруталним силама покушава дешифровати шифрирани садржај нагађањем кључа за шифровање. Овај напад је изведив када је кључ за шифровање кратак или ако нападач има довољно информација да проба и погоди кључ.

Када су у питању веб обрасци, нападачи немају много времена да погоде кључ. Гоогле или Фацебоок само ће дозволити да неко покуша да се улогује на ваш налог толико пута пре него што га „закључа“.

Међутим, када хакери добијају интерну базу података компаније, они све време у свету нагађају вашу лозинку – чак и ако је шифрована.

Веб странице би требале слати и шифрирати лозинке да би заштитили кориснике

Када веб локације спремају ваше лозинке, оне треба да (али не увек) сољу и руше корисничке лозинке, тако да неко ко има корисничку базу података не може да је користи.

Хасх функције, као што је СХА-256, су једносмерне криптографске функције. Било који податак, текст, слика или број може се „распасти“, и без обзира колико је унос дуг, резултат ће увек бити 256 бита. Када се кодира у хексадецималној форми (као доле), то резултира низом од 64 знака.

Слани резници додају додатну заштитуПримјери „сланих“ хасхе-а, поново су се промијешали.

Како нападачи пробијају вашу лозинку

Да би потенцијалним хакерима било тешко, веб локације мењају лозинке са “соли”, што је случајни податак (погледајте како раде салинг и хасхинг).

Израчунавање хасх-а из текста, слике или датотеке је тривијално и неће одузети рачунару никакву значајну количину времена или ресурса. Али ако све што знате је хасх, једини начин да сазнате оригиналну вредност је напад бруталним силама. Због тога се хасхинг функција назива и једносмерна енкрипција. Лако је прећи из текста у хасх, али врло тешко је ићи другим путем.

Разбијачи лозинки који посједују украдену базу података корисника могу видјети листу корисничких имена, вриједност соли за сваког корисника и хасх.

Помоћу ових детаља могу покушати да погоде лозинке сваког корисника, додају их солу и хасх-у и провере њихов резултат у односу на хасх који је смештен у бази података. Ако се хасх подудара, они знају да су пронашли лозинку.

Нападач мора тачно да унесе корисничко име и лозинку, јер промена хасх-а чак и ситним делом (као што се види горе) резултираће потпуно другачијим хасх-ом.

Колико комбинација лозинки постоји?

Под претпоставком да се лозинка састоји само од малих слова, за сваки знак постоји 26 могућности. Стога бисте могли очекивати да ћете у року од 13 покушаја погодити једнозначну лозинку.

Двозначна лозинка има 26 × 26 опција и требало би (26 × 26) / 2 покушаја дешифровања.

Формула ц = (м ^ н) / 2 описује однос између могућности за сваки лик (м), дужина лозинке (н) и очекивани број нагађања (ц).

Однос између дужине лозинке и броја нагађања да се пробије

Графикон који показује колико нагађања је потребно да бисте провалили лозинке различитих дужина.

  • Мала слова (м = 26)
  • Велика и мала слова (м = 52)
  • Велика и мала слова и посебни знакови (м = 67)

Иако и сложеност и дужина доприносе снази лозинке, далеко је вредније додати знак него повећати његову сложеност.

Додавање додатног карактера лозинци од четири карактера, коришћењем само малих слова, отежава пуцање 26 пута, док удвостручење могућих знакова на 52 (тј. Додавање великих слова) само чини 16 пута теже..

Логаритамска скала чини везу између дужине лозинке и потребних нагађања да се испуца

Графикон који показује опсег дужине лозинке у односу на потребне покушаје да се погоди.

  • Мала слова (м = 26)
  • Велика и мала слова (м = 52)
  • Велика и мала слова и посебни знакови (м = 67)

Колико времена треба да се пробије лозинка?

Колико брзо нападач може да вам пробије лозинку зависи од брзине рачунарског хардвера нападача.

Обични рачунар би вероватно направио око 100.000 нагађања у секунди. Намјенски ГПУ могао би бити 100 пута бржи од овога, а могуће је креирати фарму за креирање лозинке са стотинама ГПУ-а.

Ако претпоставимо да нападач има обичан рачунар, способан за 100.000 нагађања у секунди, било којој малој шифри са мање од шест знакова потребно је мање од једног минута да пробије.

Али време решавања се експоненцијално повећава, а лозинки од осам знакова требало би 12 дана да пробије. Лозинка са 12 знакова трајала би више од 12.000 година.

Да ли је довољна лозинка од 12 знакова, зависи од вредности онога што штити и обима напада. Ако су нападачи само након једног циља, можда ће им бити надомак лозинке од 12 знакова.

Кључно је, дакле, заштитити вриједне податке (попут личних података или Битцоин приватних кључева) далеко дужим лозинкама. На пример, када шифрујете свој Битцоин новчаник, добра таста са преко 32 знака могла би бити добра идеја.

Што више информација има нападач, брже ће се догодити пукотина

Горња калкулација претпоставља да нападач не зна ништа о лозинци, осим да ли укључује велике или мале слова.

У стварности, нападач можда има неких нагађања. Из претходних дешифрованих листа лозинки знамо које су најчешће лозинке. Ако нема одређеног циља, нападач може релативно брзо проверити уобичајене лозинке са списком адреса е-поште.

Људи такође имају тенденцију да одаберу лозинке које имају само бројеве на крају (као што су хелло111) и негде садрже име услуге или УРЛ адресу. Лозинка која се користи за Гмаил која садржи речи гоогле или гмаил и која на крају има четири цифре (као што је гмаилпантхер1234), лако је пробити се чак и ако је дугачка.

Људи такође користе имена својих кућних љубимаца или деце као лозинке, понекад у комбинацији са датумима рођења или годинама, што њихову лозинку чини лакше погодити него што људи можда мисле.

Користите јаке лозинке са менаџерима лозинки

Најважније правило је: Увек користите јаку лозинку.

Да бисте избегли гомилу састављања и памћења толико робусних лозинки, користите случајни генератор лозинки да бисте погодно креирали дуге, јединствене и заиста неискористиве лозинке.

Ако те лозинке похраните у управитељ лозинки, мораћете упамтити само једну лозинку (коју можете да генеришете помоћу Дицевареа, како бисте је учинили додатно сигурном). Поред тога, двофакторска провјера идентитета помаже у заштити рачунара од још софистициранијих напада, као што су лозинке добијене пхисхинг нападима.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map