Cât de cracare cu forță brută ar putea să vă dezvăluie parola

Un ciocan încearcă să forțeze bruta să deschidă un lacăt.


În criptografie, un atac de forță brută încearcă să descifreze conținut criptat ghicind cheia de criptare. Acest atac este posibil atunci când cheia de criptare este scurtă sau dacă un atacator are suficiente informații pentru a încerca să ghicească cheia..

Când vine vorba de formulare web, atacatorii nu au prea mult timp să ghicească o cheie. Google sau Facebook vor lăsa pe cineva doar să încerce să se conecteze la contul dvs. de mai multe ori înainte să îl „blocheze”.

Cu toate acestea, atunci când hackerii obțin baza de date internă a unei companii, au tot timpul din lume pentru a ghici parola dvs. chiar dacă este criptată.

Site-urile web ar trebui să introducă parole sără și hash pentru a proteja utilizatorii

Atunci când site-urile web vă păstrează parolele, acestea ar trebui (dar nu întotdeauna) săreați și să conțină parolele utilizatorului, astfel încât cineva care deține baza de date cu utilizatorii să nu le poată utiliza.

Funcțiile Hash, cum ar fi SHA-256, sunt funcții criptografice unidirecționale. Orice bucată de date, text, imagine sau număr poate fi „scăpată” și indiferent cât timp este intrarea, rezultatul va avea întotdeauna 256 biți lungime. Când este codat în hexadecimal (ca mai jos), rezultă o șir de 64 de caractere.

Hășile sărate adaugă o protecție suplimentarăExemple de hașe „sărate”, din nou.

Modul în care atacatorii își rup parola

Pentru a face lucrurile dificile pentru potențialii hackeri, site-urile web vor modifica parolele cu o „sare”, care este o informație aleatorie (a se vedea cum funcționează sărarea și spălarea).

Calcularea unui hash din text, imagine sau fișier este banală și nu va lua un computer o cantitate considerabilă de timp sau resurse. Dar dacă tot ce știți este hașa, singura modalitate de a afla valoarea inițială este un atac cu forța brută. Acesta este motivul pentru care o funcție de hashing se mai numește criptare unidirecțională. Este ușor să treci de la text la hash, dar foarte greu să mergi pe invers.

Crackerele cu parolă care dețin o bază de date furată de utilizatori ar putea vedea lista de nume de utilizator, valoarea sării pentru fiecare utilizator și hash.

Cu aceste detalii, aceștia pot încerca să ghicească parolele fiecărui utilizator, să le salteze și să le păstreze și să le verifice rezultatul cu hașa stocată în baza de date. Dacă hash-ul se potrivește, știu că au găsit parola.

Un atacator trebuie să introducă exact numele de utilizator și parola, deoarece schimbarea hash-ului chiar și un bit minuscul (așa cum se vede mai sus) va avea ca rezultat un hash complet diferit.

Câte combinații de parole există?

Presupunerea unei parole constă doar din litere mici, pentru fiecare personaj există 26 de posibilități. Prin urmare, vă așteptați să puteți ghici o parolă cu un caracter în termen de 13 încercări.

O parolă cu două caractere are 26 × 26 de opțiuni și ar fi nevoie de (26 × 26) / 2 încercări de descifrare.

Formula c = (m ^ n) / 2 descrie relația dintre posibilitățile pentru fiecare personaj (M), lungimea parolei (N) și numărul preconizat de ghiciri (C).

Relația dintre lungimea parolei și numărul ghicirilor pentru a o sparge

Un grafic pentru a arăta câte ghici necesită pentru a sparge parolele de lungimi variate.

  • Parole cu minuscule (m = 26)
  • Minuscule și minuscule (m = 52)
  • Caractere majuscule și minuscule și speciale (m = 67)

Deși atât complexitatea, cât și lungimea contribuie la puterea unei parole, este mult mai valoros să adăugați un caracter decât să-i crească complexitatea.

Adăugarea unui caracter suplimentar la o parolă de patru caractere, folosind doar caractere minuscule, face ca de 26 de ori mai dificilă fisurarea, în timp ce dublarea caracterelor posibile la 52 (adică adăugarea de caractere majuscule) face doar de 16 ori mai dificilă fisurarea.

Scala logaritmică face ca relația dintre lungimea parolei și ghicirile necesare să fie mai evidentă

Un grafic care arată scala de lungime a parolei în raport cu încercările necesare de a ghici.

  • Parole cu minuscule (m = 26)
  • Minuscule și minuscule (m = 52)
  • Caractere majuscule și minuscule și speciale (m = 67)

Cât durează pentru a sparge o parolă?

Cât de repede un atacator poate sparge parola depinde de cât de rapid este hardware-ul computerului atacatorului.

Un computer obișnuit ar face probabil aproximativ 100.000 de ghiciri pe secundă. Un GPU dedicat ar putea fi de 100 de ori mai rapid decât acesta și este posibil să creezi o fermă de tip cracking cu parolă cu sute de GPU.

Dacă presupunem că atacatorul are un computer obișnuit, capabil de 100.000 de ghiciri pe secundă, orice parolă cu minuscule cu mai puțin de șase caractere va dura mai puțin de un minut pentru a fisura.

Dar timpul de rezolvare crește exponențial, iar o parolă cu opt caractere ar dura 12 zile pentru a crăpa. O parolă cu 12 caractere ar dura peste 12.000 de ani.

Dacă o parolă de 12 caractere este suficientă depinde de valoarea protejată și de scara atacului. Dacă atacatorii sunt doar după o singură țintă, o parolă de 12 caractere ar putea fi la îndemâna lor.

Atunci este esențial să protejăm date valoroase (cum ar fi informații personale sau chei private Bitcoin) cu parole mult mai lungi. Atunci când criptați portofelul Bitcoin, de exemplu, o cheie de peste 32 de caractere ar putea fi o idee bună.

Cu cât mai multe informații are un atacator, cu atât mai rapid se va întâmpla o fisură

Calculele de mai sus presupun că atacatorul nu știe nimic despre parola, cu excepția faptului că include caractere mari sau minuscule.

În realitate, atacatorul ar putea avea unele ghiciri. Din listele de parole decriptate anterioare știm care sunt cele mai comune parole. Dacă nu există o țintă specifică, un atacator ar putea verifica relativ rapid parolele comune cu o listă de e-mailuri.

De asemenea, oamenii tind să aleagă parole care au doar numere la sfârșit (cum ar fi hello111) și care includ numele serviciului sau adresa URL undeva. O parolă folosită pentru Gmail care conține cuvintele google sau gmail și are patru cifre la sfârșit (cum ar fi gmailpanther1234), este ușor de fisurat, chiar dacă este lungă.

Oamenii tind, de asemenea, să folosească numele de animale de companie sau copii ca parole, uneori în combinație cu datele de naștere sau ani, ceea ce face parola lor mai ușor de ghicit decât ar putea crede oamenii.

Utilizați parole puternice cu managerii de parole

Cea mai importantă regulă este: Utilizați întotdeauna o parolă puternică.

Pentru a evita neplăcerile de a vă alcătui și de a vă aminti atât de multe parole solide, utilizați un generator de parole aleatoriu pentru a crea în mod convenabil parolele lungi, unice și cu adevărat inechitabile.

Dacă apoi stocați parolele cu un manager de parole, va trebui să vă amintiți o singură parolă (pe care ați putea-o genera cu Diceware, pentru a o face mai sigură). În plus, autentificarea cu doi factori ajută la protejarea conturilor împotriva atacurilor și mai sofisticate, precum parolele obținute prin atacuri de phishing.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map