Video: Redd Barna - Lag et passord. (Oktober 2024)
Knapt en uke går uten nyheter om et datainnbrudd som utsetter millioner eller milliarder passord. I de fleste tilfeller er det som faktisk blir utsatt en versjon av passordet som har blitt kjørt gjennom en hashingsalgoritme, ikke selve passordet. Den siste rapporten fra Trustwave viser at hashing ikke hjelper når brukere lager dumme passord, og at lengden er viktigere enn kompleksiteten i passord.
Hackere vil sprekke @ u8vRj & R3 * 4h før de sprekker StatelyPlumpBuckMulligan eller ItWasTheBestOfTimes.
Hashing It Out
Tanken bak hashing er at det sikre nettstedet aldri lagrer brukerens passord. Snarere lagrer det resultatet av å kjøre passordet gjennom en hashingsalgoritme. Hashing er en slags enveiskryptering. Den samme inngangen genererer alltid det samme resultatet, men det er ingen måte å gå fra resultatet tilbake til det opprinnelige passordet. Når du logger på, hasser serversideprogramvaren det du skrev inn. Hvis det samsvarer med den lagrede hasjen, er du inne.
Problemet med denne tilnærmingen er at skurkene også har tilgang til hash-algoritmer. De kan kjøre hver kombinasjon av tegn for en gitt passordlengde gjennom algoritmen og matche resultatene mot en liste over stjålne hashede passord. For hvert hasj som samsvarer, har de dekodet ett passord.
I løpet av tusenvis av nettverksgjennomførelsestester i 2013 og begynnelsen av 2014, samlet Trustwave-forskere over 600 000 hashede passord. Ved å ha hasjkrakkekode på kraftige GPU-er, sprakk de over halvparten av passordene på få minutter. Testen fortsatte i en måned, da de hadde sprukket over 90 prosent av prøvene.
Passord - du gjør det galt
Vanlig visdom mener at et passord som inneholder store bokstaver, små bokstaver, sifre og tegnsetting er vanskelig å sprekke. Det viser seg at det ikke er helt sant. Ja, det ville være tøft for en malefaktor å gjette et passord som N ^ a & $ 1nG, men ifølge Trustwave kunne en angriper knekke den på mindre enn fire dager. I motsetning til dette, vil det kreve nesten 18 års behandling å sprekke et lengre passord som GoodLuckGuessingThisPassword.
Mange IT-avdelinger krever passord på minst åtte tegn, som inneholder store bokstaver, små bokstaver og sifre. Rapporten påpeker at "Passord1" dessverre oppfyller disse kravene. Ikke tilfeldig var Password1 det vanligste enkeltpassordet i samlingen som ble undersøkt.
TrustWaves forskere fant også ut at brukerne vil gjøre akkurat det de er pålagt å gjøre, ikke mer. Ved å dele passordsamlingen sin etter lengde, fant de ut at nesten halvparten var nøyaktig åtte tegn.
Gjør dem lange
Vi har sagt dette før, men det gjentar seg. Jo lenger passordet ditt (eller passordfrasen) er, desto vanskeligere er det for hackere å knekke det. Skriv inn et favoritt sitat eller setning, utelat mellomrom, og du har en anstendig passordfrase.
Ja, det er andre typer sprekkangrep. I stedet for å hasj hver eneste kombinasjon av tegn, har et ordbokangrep kombinasjoner av kjente ord, og innsnevrer omfanget av søket betydelig. Men med et langt nok passord, vil brute-force cracking fortsatt ta århundrer.
Den fullstendige rapporten skiver og terninger dataene på en rekke måter. For eksempel besto over 100 000 av de spreke passordene av seks små bokstaver og to sifre, som ape12. Hvis du administrerer passordpolicyer, eller hvis du bare er interessert i å lage bedre passord for deg selv, er det absolutt verdt å lese.
