Bagaimana keretakan kekerasan kasar mungkin mendedahkan kata laluan anda

Sebuah palu cuba untuk memaksa membuka kunci padlock.


Dalam kriptografi, serangan kekerasan cuba menguraikan kandungan yang disulitkan dengan meneka kunci penyulitan. Serangan ini boleh dilakukan apabila kunci penyulitan adalah pendek, atau jika penyerang mempunyai maklumat yang mencukupi untuk mencuba dan meneka kunci.

Apabila ia datang ke borang web, penyerang tidak mempunyai banyak masa untuk meneka kunci. Google atau Facebook hanya akan membiarkan seseorang cuba log masuk ke akaun anda begitu banyak kali sebelum mereka “menguncinya.”

Apabila penggodam mendapatkan pangkalan data dalaman sebuah syarikat, bagaimanapun, mereka mempunyai masa di dunia untuk meneka kata laluan anda-walaupun ia disulitkan.

Tapak web harus mempunyai kata laluan garam dan hash untuk melindungi pengguna

Apabila laman web menyimpan kata laluan anda, mereka harus (tetapi tidak selalu) garam dan hash kata laluan pengguna, sehingga seseorang yang memiliki pangkalan data pengguna tidak dapat menggunakannya.

Fungsi Hash, seperti SHA-256, adalah fungsi kriptografi sehala. Segala data, teks, imej, atau nombor boleh menjadi “hashed,” dan tidak kira berapa lama inputnya, hasilnya akan sentiasa 256 bit panjang. Apabila dikodkan dalam heksadesimal (seperti di bawah), ini menghasilkan rentetan 64 aksara.

Hash masin menambah perlindungan tambahanContoh-contoh hash “asin”, menghilangkan lagi.

Bagaimana penyerang memecahkan kata laluan anda

Untuk membuat perkara sukar bagi penggodam yang berpotensi, laman web akan meminda kata laluan dengan “garam,” yang merupakan sekeping data rawak (lihat bagaimana garam dan hashing berfungsi).

Mengira hash dari teks, gambar atau fail adalah sepele dan tidak akan mengambil komputer apa-apa jumlah masa atau sumber yang banyak. Tetapi jika semua yang anda tahu adalah hash, satu-satunya cara untuk mengetahui nilai asal adalah serangan kekerasan. Inilah sebabnya mengapa fungsi hashing juga dipanggil penyulitan sehala. Mudah untuk pergi dari teks ke hash, tetapi sangat sukar untuk pergi dengan cara lain.

Crack kata laluan yang memiliki pangkalan data pengguna yang dicuri mungkin melihat senarai nama pengguna, nilai garam untuk setiap pengguna, dan hash.

Dengan butiran ini, mereka boleh cuba meneka kata laluan setiap pengguna, garam dan hash mereka, dan periksa hasilnya terhadap hash yang disimpan dalam pangkalan data. Sekiranya hash itu padan, mereka tahu mereka telah menemui kata laluan.

Penyerang mesti memasukkan nama pengguna dan kata laluan tepat, seperti mengubah hash walaupun hanya sedikit kecil (seperti yang dilihat di atas) akan menghasilkan hash yang sama sekali berbeza.

Berapa kombinasi kata laluan ada di sana?

Dengan mengandaikan kata laluan hanya terdiri daripada huruf kecil, untuk setiap watak terdapat 26 kemungkinan. Oleh itu, anda akan dapat meneka kata laluan satu aksara dalam 13 percubaan.

Kata laluan dua aksara mempunyai 26 × 26 pilihan dan akan mengambil (26 × 26) / 2 percubaan untuk mentafsir.

Formula itu c = (m ^ n) / 2 menggambarkan hubungan antara kemungkinan untuk setiap watak (m), panjang kata laluan (n) dan bilangan ramalan yang dijangkakan (c).

Hubungan antara panjang kata laluan dan bilangan tekaan untuk memecahkannya

Grafik untuk menunjukkan berapa banyak tebak yang diperlukan untuk melancarkan kata laluan yang berbeza-beza.

  • Lowercase password (m = 26)
  • Huruf besar dan huruf kecil (m = 52)
  • Huruf atas dan huruf kecil dan istimewa (m = 67)

Walaupun kedua-dua kerumitan dan panjang menyumbang kepada kekuatan kata laluan, jauh lebih berharga untuk menambah watak daripada meningkatkan kerumitannya.

Menambah kata laluan tambahan ke kata laluan empat huruf, menggunakan huruf kecil sahaja, menjadikannya 26 kali lebih sukar untuk retak, sedangkan menggandakan aksara yang mungkin menjadi 52 (iaitu, menambah huruf besar) hanya menjadikannya 16 kali lebih sukar untuk retak.

Skala logaritma membuat hubungan antara panjang kata laluan dan tekaan yang diperlukan untuk retak yang lebih jelas

Grafik untuk menunjukkan skala panjang kata laluan terhadap percubaan yang diperlukan untuk meneka.

  • Lowercase password (m = 26)
  • Huruf besar dan huruf kecil (m = 52)
  • Huruf atas dan huruf kecil dan istimewa (m = 67)

Berapa lamakah masa untuk menamatkan kata laluan??

Seberapa cepat penyerang boleh memecahkan kata laluan anda bergantung kepada berapa cepat perkakasan komputer penyerang itu.

Komputer biasa mungkin membuat kira-kira 100,000 tangkapan sesaat. GPU yang berdedikasi mungkin 100 kali lebih cepat daripada ini, dan mungkin membuat ladang retak kata laluan dengan beratus-ratus GPU.

Jika kita menganggap penyerang mempunyai komputer biasa, mampu 100,000 tebakan sesaat, mana-mana kata laluan huruf kecil dengan kurang daripada enam aksara akan mengambil masa kurang dari satu minit untuk retak.

Tetapi masa penyelesaiannya meningkat secara eksponen, dan kata laluan lapan aksara akan mengambil masa 12 hari untuk retak. Kata laluan 12 karakter akan mengambil alih 12,000 tahun.

Sama ada kata laluan 12 aksara cukup bergantung pada nilai apa yang dilindungi dan skala serangan. Sekiranya penyerang hanya selepas sasaran tunggal, kata laluan 12-aksara mungkin berada dalam jangkauan mereka.

Oleh itu, penting untuk melindungi data berharga (seperti maklumat peribadi atau kunci peribadi Bitcoin) dengan kata laluan jauh lebih panjang. Apabila menyulitkan dompet Bitcoin anda, sebagai contoh, kunci lebih daripada 32 aksara mungkin idea yang baik.

Maklumat lebih lanjut penyerang mempunyai, lebih cepat retak akan berlaku

Pengiraan di atas mengandaikan bahawa penyerang tidak tahu apa-apa mengenai kata laluan, selain daripada sama ada ia mengandungi huruf besar atau huruf kecil.

Pada hakikatnya, penyerang mungkin mempunyai beberapa tekaan. Dari senarai katal kata laluan terdahulu yang terdahulu, kita tahu kata laluan yang paling umum. Sekiranya tidak ada sasaran khusus, penyerang boleh memeriksa kata laluan yang sama dengan senarai e-mel yang agak cepat.

Orang juga cenderung memilih kata laluan yang hanya mempunyai nombor pada akhir (seperti hello111), dan masukkan nama perkhidmatan atau URL di suatu tempat. Kata laluan yang digunakan untuk Gmail yang mengandungi perkataan google atau gmail dan mempunyai empat digit di akhir (seperti gmailpanther1234), mudah untuk retak, walaupun sudah lama.

Orang juga cenderung untuk menggunakan nama haiwan kesayangan atau anak-anak mereka sebagai kata laluan, kadangkala dalam kombinasi dengan tarikh kelahiran atau tahun, menjadikan kata laluan mereka mudah ditebak daripada orang mungkin berfikir.

Gunakan kata laluan yang kuat dengan pengurus kata laluan

Peraturan yang paling penting ialah: Sentiasa gunakan kata laluan yang kuat.

Untuk mengelakkan kerumitan membuat dan mengingati kata laluan yang mantap, gunakan penjana kata laluan secara rawak untuk mencipta kata laluan yang panjang, unik, dan benar-benar tak terang.

Sekiranya anda menyimpan kata laluan tersebut dengan pengurus kata laluan, anda hanya perlu mengingati kata laluan tunggal (yang boleh anda hasilkan dengan Diceware, untuk menjadikannya lebih selamat). Di samping itu, pengesahan dua faktor membantu melindungi akaun daripada serangan yang lebih canggih, seperti kata laluan yang diperoleh melalui serangan pancingan data.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map