Jak złamanie brutalnej siły może ujawnić twoje hasło

Młotek próbuje brutalnie otworzyć kłódkę.

W kryptografii atak brutalnej siły próbuje odszyfrować zaszyfrowaną treść poprzez odgadnięcie klucza szyfrowania. Ten atak jest wykonalny, gdy klucz szyfrujący jest krótki lub jeśli osoba atakująca ma wystarczające informacje, aby spróbować odgadnąć klucz.

Jeśli chodzi o formularze internetowe, osoby atakujące nie mają wiele czasu na odgadnięcie klucza. Google lub Facebook pozwolą komuś próbować zalogować się na twoje konto tyle razy, zanim „zablokuje”.

Jednak gdy hakerzy uzyskują wewnętrzną bazę danych firmy, cały czas na świecie odgadują twoje hasło – nawet jeśli jest zaszyfrowane.

Strony internetowe powinny słonić i mieszać hasła, aby chronić użytkowników

Gdy witryny przechowują twoje hasła, powinny (ale nie zawsze) solą i haszują hasła użytkowników, aby ktoś, kto posiada bazę danych użytkowników, nie mógł jej użyć.

Funkcje skrótu, takie jak SHA-256, są jednostronnymi funkcjami kryptograficznymi. Dowolny fragment danych, tekstu, obrazu lub liczby można „mieszać” i bez względu na to, jak długo trwa wprowadzanie danych, wynik zawsze będzie miał długość 256 bitów. Po zakodowaniu w systemie szesnastkowym (jak poniżej) daje to ciąg 64 znaków.

Solone hasze zapewniają dodatkową ochronęPrzykłady „solonych” skrótów, ponownie mieszanych.

Jak atakujący łamią twoje hasło

Aby utrudnić potencjalnym hakerom, strony internetowe poprawią hasła za pomocą „soli”, która jest losową częścią danych (zobacz, jak działa solenie i haszowanie).

Obliczanie skrótu z tekstu, zdjęcia lub pliku jest banalne i nie zajmuje komputerowi znacznej ilości czasu ani zasobów. Ale jeśli wszystko, co wiesz, to hash, jedynym sposobem na znalezienie oryginalnej wartości jest atak brutalną siłą. Dlatego funkcja skrótu nazywana jest również szyfrowaniem jednokierunkowym. Przejście z tekstu do skrótu jest łatwe, ale bardzo trudno jest przejść w drugą stronę.

Łamacze haseł będące w posiadaniu skradzionej bazy danych użytkowników mogą zobaczyć listę nazw użytkowników, wartość soli dla każdego użytkownika i skrót.

Dzięki tym szczegółom mogą próbować odgadnąć hasła każdego użytkownika, solić je i mieszać, a także sprawdzać ich wynik w porównaniu z hasłem przechowywanym w bazie danych. Jeśli skrót jest zgodny, wiedzą, że znaleźli hasło.

Atakujący musi wprowadzić dokładnie nazwę użytkownika i hasło, ponieważ zmiana skrótu nawet odrobinę (jak pokazano powyżej) spowoduje zupełnie inny skrót.

Ile jest kombinacji haseł?

Zakładając, że hasło składa się tylko z małych liter, dla każdego znaku istnieje 26 możliwości. Dlatego można się spodziewać odgadnięcia hasła składającego się z jednego znaku w ciągu 13 prób.

Dwuznakowe hasło ma opcje 26 × 26 i wymagałoby (26 × 26) / 2 prób rozszyfrowania.

Formuła c = (m ^ n) / 2 opisuje związek między możliwościami każdej postaci (m), długość hasła (n) i spodziewana liczba domysłów (do).

Związek między długością hasła a liczbą zgadnięć do złamania

Wykres pokazujący, ile zgadnięć potrzeba do złamania haseł o różnej długości.

  • Hasła pisane małymi literami (m = 26)
  • Wielkie i małe litery (m = 52)
  • Wielkie i małe litery oraz znaki specjalne (m = 67)

Chociaż zarówno złożoność, jak i długość przyczyniają się do siły hasła, o wiele bardziej wartościowe jest dodanie znaku niż zwiększenie jego złożoności.

Dodanie dodatkowego znaku do czteroznakowego hasła, używając tylko małych liter, sprawia, że ​​łamanie go jest 26 razy trudniejsze, podczas gdy podwojenie możliwych znaków do 52 (tj. Dodawanie wielkich liter) tylko 16 razy trudniejsze do złamania.

Skala logarytmiczna uwidacznia związek między długością hasła i wymaganymi domysłami

Wykres pokazujący skalę długości hasła w stosunku do wymaganych prób jego odgadnięcia.

  • Hasła pisane małymi literami (m = 26)
  • Wielkie i małe litery (m = 52)
  • Wielkie i małe litery oraz znaki specjalne (m = 67)

Ile czasu zajmuje złamanie hasła?

Szybkość złamania hasła przez osobę atakującą zależy od szybkości sprzętu komputerowego osoby atakującej.

Zwykły komputer prawdopodobnie wykona około 100 000 zgadnięć na sekundę. Dedykowany procesor graficzny może być 100 razy szybszy, a dzięki setkom procesorów graficznych można stworzyć farmę do łamania haseł.

Jeśli założymy, że atakujący ma zwykły komputer, zdolny do 100 000 zgadnięć na sekundę, złamanie dowolnego małego hasła zawierającego mniej niż sześć znaków zajmie mniej niż minutę.

Ale czas rozwiązania rośnie wykładniczo, a złamanie ośmioznakowego hasła zajęłoby 12 dni. 12-znakowe hasło zajmie ponad 12 000 lat.

To, czy hasło składające się z 12 znaków będzie wystarczające, zależy od wartości tego, co chroni i skali ataku. Jeśli atakujący dążą tylko do jednego celu, w zasięgu może być 12-znakowe hasło.

Dlatego niezwykle ważna jest ochrona cennych danych (takich jak dane osobowe lub klucze prywatne Bitcoin) za pomocą znacznie dłuższych haseł. Na przykład podczas szyfrowania portfela Bitcoin dobrym pomysłem może być klucz składający się z ponad 32 znaków.

Im więcej informacji posiada atakujący, tym szybciej nastąpi crack

Powyższe obliczenia zakładają, że atakujący nie wie nic o haśle, poza tym, czy zawiera wielkie lub małe litery.

W rzeczywistości atakujący może mieć pewne domysły. Z poprzednich list odszyfrowanych haseł wiemy, jakie są najczęstsze hasła. Jeśli nie ma określonego celu, osoba atakująca może stosunkowo szybko sprawdzić popularne hasła przy użyciu listy e-mail.

Ludzie również wybierają hasła, które mają tylko cyfry na końcu (np. Hello111) i zawierają nazwę usługi lub adres URL. Hasło używane w Gmailu, które zawiera słowa google lub gmail i ma cztery cyfry na końcu (takie jak gmailpanther1234), jest łatwe do złamania, nawet jeśli jest długie.

Ludzie również używają nazw swoich zwierząt domowych lub dzieci jako haseł, czasami w połączeniu z datami urodzenia lub latami, dzięki czemu ich hasło jest łatwiejsze do odgadnięcia, niż mogłoby się wydawać.

Używaj silnych haseł z menedżerami haseł

Najważniejszą zasadą jest: Zawsze używaj silnego hasła.

Aby uniknąć kłopotów z tworzeniem i zapamiętywaniem tylu solidnych haseł, użyj losowego generatora haseł, aby wygodnie tworzyć długie, unikalne i naprawdę niewygadalne hasła.

Jeśli następnie przechowujesz te hasła w menedżerze haseł, musisz zapamiętać tylko jedno hasło (które możesz wygenerować za pomocą Diceware, aby było wyjątkowo bezpieczne). Ponadto uwierzytelnianie dwuskładnikowe pomaga chronić konta przed jeszcze bardziej wyrafinowanymi atakami, takimi jak hasła uzyskane w wyniku ataków phishingowych.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me