Video: Vahva salasana (Marraskuu 2024)
Vain viikko kuluu ilman uutisia tietoturvallisuudesta, joka paljastaa miljoonia tai miljardeja salasanoja. Useimmissa tapauksissa se, mikä todella paljastetaan, on salasanan versio, joka on ajettu hajautusalgoritmin kautta, ei itse salasana. Uusin Trustwave-raportti osoittaa, että hajauttaminen ei auta, kun käyttäjät luovat tyhmiä salasanoja, ja että pituus on tärkeämpi kuin salasanojen monimutkaisuus.
Hakkerit murtuvat @ u8vRj & R3 * 4h ennen kuin ne murtautuvat StatelyPlumpBuckMulligan tai ItWasTheBestOfTimes.
Hashing It Out
Hajauttamisen idea on, että suojattu verkkosivusto ei koskaan tallenna käyttäjän salasanaa. Pikemminkin se tallentaa salasanan suorittamisen tuloksen hajautusalgoritmin kautta. Hajautus on eräänlainen yksisuuntainen salaus. Sama syöttö tuottaa aina saman tuloksen, mutta tuloksesta ei voi palata takaisin alkuperäiseen salasanaan. Kun kirjaudut sisään, palvelinpuolen ohjelmisto tiivistää kirjoittamasi tiedot. Jos se vastaa tallennettua hashia, olet sisään.
Tämän lähestymistavan ongelma on, että pahoilla pojilla on myös pääsy hajautusalgoritmeihin. He voivat suorittaa jokaisen merkkikokonaisuuden tietyllä salasanan pituudella algoritmin kautta ja verrata tuloksia varastettujen hajautettujen salasanojen luetteloon. Jokaiselta vastaavalle hashille he ovat purkaneet yhden salasanan.
Tuhansien verkon tunkeutumistestausten aikana vuonna 2013 ja vuoden 2014 alussa Trustwave-tutkijat keräsivät yli 600 000 hajautettua salasanaa. Suorittamalla hash-krakking-koodin voimakkaalla GPU: lla, he mursivat yli puolet salasanoista muutamassa minuutissa. Testiä jatkettiin kuukauden ajan, jolloin he olivat murtaneet yli 90 prosenttia näytteistä.
Salasanat - teet sen väärin
Yleisen viisauden mukaan salasana, joka sisältää isoja kirjaimia, pieniä kirjaimia, numeroita ja välimerkkejä, on vaikea murtaa. Osoittautuu, että se ei ole totta. Kyllä, pahantekijä olisi vaikea arvata salasanaa, kuten N ^ a & $ 1nG, mutta Trustwaven mukaan hyökkääjä pystyi murtamaan sen alle neljässä päivässä. Sitä vastoin pitkän salasanan, kuten GoodLuckGuessingThisPassword, murtaaminen vaatisi melkein 18 vuoden käsittelyä.
Monet IT-osastot vaativat vähintään kahdeksan merkin salasanat, jotka sisältävät isoja, pieniä kirjaimia ja numeroita. Raportissa huomautetaan, että valitettavasti "Password1" täyttää nämä vaatimukset. Ei sattumalta, Password1 oli yleisin yksittäinen salasana tutkittavassa kokoelmassa.
TrustWaven tutkijat havaitsivat myös, että käyttäjät tekevät juuri sen, mitä heidän on pakko tehdä, ei enää. Hajottamalla salasanakokoelmansa pituuden perusteella he huomasivat, että melkein puolet oli tarkalleen kahdeksan merkkiä.
Tee heistä pitkiä
Olemme sanoneet tämän aiemmin, mutta se toistuu. Mitä pidempi salasana (tai tunnuslause), sitä vaikeampi hakkereiden on saada se murtumaan. Kirjoita suosikki lainaus tai lause, jättämättä välilyöntejä, ja sinulla on kunnollinen salasana.
Kyllä, on olemassa muun tyyppisiä murtohyökkäyksiä. Sen sijaan, että hajotettaisiin jokainen merkkiyhdistelmä, sanakirjahyökkäys hajauttaa tunnettujen sanojen yhdistelmiä, mikä kaventaa haun laajuutta merkittävästi. Mutta riittävän pitkällä salasanalla raa'an voiman murtuminen vie vielä vuosisatoja.
Koko raportti leikkaa ja kuutioi tiedot monin tavoin. Esimerkiksi yli 100 000 murtuneista salasanoista koostui kuudesta pienestä kirjaimesta ja kahdesta numerosta, kuten apina12. Jos hallitset salasanakäytäntöjä tai olet kiinnostunut vain parantamaan salasanoja itsellesi, se on ehdottomasti lukemisen arvoinen.