Как взлом может выявить ваш пароль

Молоток пытается грубой силой открыть замок.

В криптографии атака с использованием грубой силы пытается расшифровать зашифрованный контент, угадав ключ шифрования. Эта атака возможна, когда ключ шифрования короткий, или если у злоумышленника достаточно информации, чтобы попытаться угадать ключ.

Когда дело доходит до веб-форм, у злоумышленников не так много времени, чтобы угадать ключ. Google или Facebook позволят кому-то столько раз пытаться войти в вашу учетную запись, прежде чем «заблокировать».

Однако, когда хакеры получают внутреннюю базу данных компании, у них есть все время, чтобы угадать ваш пароль, даже если он зашифрован.

Сайты должны солить и хэшировать пароли для защиты пользователей

Когда веб-сайты хранят ваши пароли, они должны (но не всегда) солить и хэшировать пароли пользователей, чтобы кто-то, владеющий базой данных пользователей, не мог их использовать..

Хеш-функции, такие как SHA-256, являются односторонними криптографическими функциями. Любой фрагмент данных, текста, изображения или числа может быть «хеширован», и независимо от того, какова длина ввода, результат всегда будет иметь длину 256 бит. Когда кодируется в шестнадцатеричном (как показано ниже), это приводит к 64-символьной строке.

Соленые хэши добавляют дополнительную защитуПримеры «соленых» хэшей, снова хэшированные.

Как злоумышленники взломают ваш пароль

Чтобы усложнить задачу потенциальным хакерам, веб-сайты будут изменять пароли с помощью «соли», которая представляет собой случайный фрагмент данных (посмотрите, как работает соление и хэширование).

Вычисление хэша из текста, изображения или файла является тривиальным и не потребует от компьютера значительного количества времени или ресурсов. Но если все, что вы знаете, это хеш, то единственный способ узнать первоначальное значение – это атака грубой силой. Вот почему функцию хеширования также называют односторонним шифрованием. Легко перейти от текста к хешу, но очень трудно пойти другим путем.

Взломщики паролей, владеющие украденной базой данных пользователей, могут видеть список имен пользователей, солт-значение для каждого пользователя и хэш.

С этими подробностями они могут попытаться угадать пароли каждого пользователя, засолить и хэшировать их, и сравнить их результаты с хешем, хранящимся в базе данных. Если хеш совпадает, они знают, что нашли пароль.

Злоумышленник должен ввести имя пользователя и пароль точно, так как изменение хеша даже чуть-чуть (как видно выше) приведет к совершенно другому хешу.

Сколько существует комбинаций паролей?

Предполагая, что пароль состоит только из строчных букв, для каждого символа есть 26 возможностей. Следовательно, можно ожидать, что вы сможете угадать односимвольный пароль в течение 13 попыток..

Двухсимвольный пароль имеет параметры 26 × 26 и потребует (26 × 26) / 2 попытки расшифровать.

Формула с = (т ^ п) / 2 описывает отношения между возможностями для каждого персонажа (М), длина пароля (П) и ожидаемое количество догадок (С).

Соотношение между длиной пароля и количеством попыток его взломать

График, показывающий, сколько предположений требуется для взлома паролей различной длины.

  • Строчные пароли (m = 26)
  • Прописные и строчные буквы (m = 52)
  • Прописные и строчные и специальные символы (m = 67)

Несмотря на то, что сложность и длина увеличивают надежность пароля, гораздо важнее добавить символ, чем увеличить его сложность..

Добавление дополнительного символа к четырехсимвольному паролю с использованием только строчных символов делает его взломать в 26 раз труднее, тогда как удвоение возможных символов до 52 (то есть добавление заглавных символов) только усложняет взлом 16 раз..

Логарифмическая шкала делает связь между длиной пароля и необходимыми предположениями для взлома более очевидной

График, показывающий масштаб длины пароля в сравнении с необходимыми попытками его угадать.

  • Строчные пароли (m = 26)
  • Прописные и строчные буквы (m = 52)
  • Прописные и строчные и специальные символы (m = 67)

Сколько времени нужно, чтобы взломать пароль?

То, насколько быстро злоумышленник сможет взломать ваш пароль, зависит от того, насколько быстро работает компьютерное оборудование злоумышленника..

Обычный компьютер, вероятно, будет делать около 100 000 догадок в секунду. Выделенный графический процессор может быть в 100 раз быстрее, и возможно создать ферму взлома паролей с сотнями графических процессоров..

Если предположить, что у злоумышленника есть обычный компьютер, способный выдавать 100 000 догадок в секунду, любой пароль в нижнем регистре длиной менее шести символов будет взломан менее чем за минуту.

Но время решения увеличивается в геометрической прогрессии, а взлом пароля из восьми символов займет 12 дней. Пароль из 12 символов займет более 12 000 лет.

Достаточно ли 12-символьного пароля, зависит от того, что он защищает, и масштабов атаки. Если злоумышленники преследуют только одну цель, пароль из 12 символов может быть в пределах их досягаемости.

Таким образом, крайне важно защитить ценные данные (например, личную информацию или секретные ключи Биткойн) с помощью гораздо более длинных паролей. Например, при шифровании вашего биткойн-кошелька рекомендуется использовать ключ длиной более 32 символов..

Чем больше информации у злоумышленника, тем быстрее произойдет взлом

Приведенные выше расчеты предполагают, что злоумышленник ничего не знает о пароле, кроме того, содержит ли он заглавные или строчные буквы.

На самом деле у злоумышленника могут быть какие-то догадки. Из предыдущих расшифрованных списков паролей мы знаем, какие пароли наиболее распространены. Если конкретной цели нет, злоумышленник может проверить общие пароли в списке электронной почты относительно быстро..

Люди также склонны выбирать пароли, которые имеют только цифры в конце (например, hello111), и включают в себя название службы или URL-адрес. Пароль, используемый для Gmail, который содержит слова google или gmail и имеет четыре цифры в конце (например, gmailpanther1234), легко взломать, даже если он длинный.

Люди также склонны использовать имена своих питомцев или детей в качестве паролей, иногда в сочетании с датами рождения или годами, что делает их пароль легче угадать, чем люди могут подумать.

Используйте надежные пароли с менеджерами паролей

Самое важное правило: всегда используйте надежный пароль.

Чтобы избежать хлопот, связанных с созданием и запоминанием стольких надежных паролей, используйте генератор случайных паролей для удобного создания длинных, уникальных и действительно не угадываемых паролей..

Если вы затем сохраните эти пароли в менеджере паролей, вам нужно будет запомнить только один пароль (который вы можете сгенерировать с помощью Diceware, чтобы сделать его более безопасным). Кроме того, двухфакторная аутентификация помогает защитить учетные записи от еще более сложных атак, таких как пароли, полученные с помощью фишинговых атак..

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me