Защо паролите никога не са били толкова слаби, колкото са сега

Защо паролите никога не са били толкова слаби, колкото са сега

Дори 13-т или 16 значна парола в наше време не може да се смята за безопасна. Само шест дена след след изтичането на 6,5 млн паролни хеша от LinkedIn над 90% от паролите бяха разкрити. Преди няколко години това бе трудно дори да се представи. На сайта на ArsTechnica е публикувана голяма обзорна статия , в която подробно се обясняват причините за трансформациите, които станаха в областта на разбиването на пароли през последните няколко години.
Основната мисъл е в това, че средната парола през 2012 година е слаба както никога до сега. Това се обяснява с няколко причини. Първо и най-очевидното: «числодробилките» GPU, с които става подбора на хешове, са станали значително по-мощни през последните години. Например, AMD Radeon HD7970 GPU е способен да изчисли 8,2 милиарда хеша в секунда. Но това не е главната причина.
Най-важното е, че техниката на разбиване на пароли през 2009-2012 кардинално се е усъвършенствала. По мнение на специалисти, не е възможно дори да се сравняват онези примитивни методи на атака чрез речник, които се използваха преди, и аналитиката базирана на десетки милиони изтекли пароли, които са достъпни на специалистите сега.
Източниците на сегашните проблеми са от 2009 година, когато стана най-масовото в историята изтичане на потребителски пароли. В резултат на SQL-инжекция на сайта RockYou хакерите успяха да изтеглят 32 милиона пароли в открит текст. От този момент започна нова епоха.
Гигантската база данни позволи на разработчиците на софтуер за разбиване напълно да преработят речниците, по които се прави брутфорса. Вместо «теоретични» речници те имаха истински речници с реални пароли. Базата RockYou и до момента остава уникален, най-добър ресурс за хакване.
База от 32 милиона пароли rockyou.txt.bz2 (огледало)
От 2009 година, работата потръгна по мед и масло. След всяко ново изтичане на хешове все по-голяма част от тях можеха да се подбират по речника, а ресурсите се отделяха за анализ на сложните пароли, които след това се добавях към речника. Например, в наше време парола от рода на Sup3rThinkers се смята за лека за разбиване, защото се разкрива чрез речник с няколко замени, за които съществуват съответни правила. За ускоряване на търсенето чрез речници от десетки гигабайти се използват дъгови таблици (rainbow table).
Към настоящия момент има следната ситуация - при изтичане от всяка услуга на бази с паролни хешове по речник моментално се откриват 60% от паролите! Тоест въобще не са нужни усилия — тези 60% са резултат от прилагане на знания, натрупани в миналото.
Така, изтичанията стават все по-често и базите се попълват. По оценка на специалистите, само през миналата година онлайн са публикувани над 100 милиона потребителски пароли.
Относително защитени в наше време могат да се чувстват само тези, които ползват менажери за пароли от рода на 1Password или PasswordSafe.


Източник: Хакер.ru


Полезни продукти от Софткей
Proactive Password Auditor
  • Архив

    «   Март 2017   »
    Пн Вт Ср Чт Пт Сб Нд
        1 2 3 4 5
    6 7 8 9 10 11 12
    13 14 15 16 17 18 19
    20 21 22 23 24 25 26
    27 28 29 30 31    

Въведи своя e-mail и получавай

свежите намаления и новини!