Kako lahko zlom grobe sile razkrije vaše geslo

Kladivo poskuša silovito odpreti ključavnico.

V kriptografiji napad na silo poskuša razvozlati šifrirano vsebino z ugibanjem ključa za šifriranje. Ta napad je izvedljiv, če je šifrirni ključ kratek ali če ima napadalec dovolj informacij, da ključ poskusi uganiti.

Ko gre za spletne obrazce, napadalci nimajo veliko časa, da bi uganili ključ. Google ali Facebook bo dovolil samo, da se kdo poskusi tolikokrat prijaviti v vaš račun, preden ga »zaklene«.

Ko pa hekerji pridobijo interno bazo podatkov podjetja, imajo ves čas na svetu, da ugibajo vaše geslo – tudi če je šifrirano.

Spletna mesta bi morala soliti in gesla za zaščito uporabnikov

Ko spletna mesta shranjujejo vaša gesla, bi morala (vendar ne vedno) soliti in zdrobiti uporabniška gesla, tako da jih nekdo, ki ima uporabniško bazo podatkov, ne more uporabljati.

Hash funkcije, kot je SHA-256, so enosmerne kriptografske funkcije. Vsak del podatkov, besedila, slike ali številke lahko “razberemo”, in ne glede na to, kako dolgo je vhod, bo rezultat vedno 256 bitov. Ko je kodiran v šestnajstiškem zapisu (kot spodaj), to povzroči niz z 64 znaki.

Slane rezine dodajo dodatno zaščitoPrimeri “soljene” lopute, spet razkuhani.

Kako napadalci pokvarijo vaše geslo

Da bodo potencialni hekerji zapleteni, bodo spletna mesta spremenila gesla s “soljo”, kar je naključen podatek (poglejte, kako deluje soljenje in razmnoževanje).

Izračunavanje hash-ja iz besedila, slike ali datoteke je trivialno in računalniku ne bo vzelo veliko časa ali sredstev. Ampak, če veste le hašiš, je edini način, da ugotovite prvotno vrednost, napad z grobo silo. To je razlog, zakaj se funkcija hashinganja imenuje tudi enosmerno šifriranje. Od besedila do hash-a je enostavno iti, zelo težko pa greš po drugi poti.

Prostorniki gesel, ki imajo ukradeno bazo uporabnikov, bodo morda videli seznam uporabniških imen, vrednost soli za vsakega uporabnika in hash.

S temi podrobnostmi lahko poskušajo uganiti gesla vsakega uporabnika, jih soliti in razpršiti ter preveriti njihov rezultat glede na hash, shranjen v bazi. Če se hash ujema, vedo, da so našli geslo.

Napadalec mora natančno vnesti uporabniško ime in geslo, saj bo sprememba hash-a le majhen delček (kot je prikazano zgoraj) povzročila popolnoma drugačen hash.

Koliko kombinacij geslov obstaja?

Ob predpostavki, da geslo sestavlja samo male črke, za vsak znak obstaja 26 možnosti. Zato bi pričakovali, da boste lahko v 13 poskusih uganili enočrkovno geslo.

Dvočrkovno geslo ima 26 × 26 možnosti in bo (26 × 26) / 2 poskusov dešifriranja.

Formula c = (m ^ n) / 2 opisuje razmerje med možnostmi za vsak lik (m), dolžina gesla (n) in pričakovano število ugibanj (c).

Razmerje med dolžino gesla in številom ugibanj

Graf, ki prikazuje, koliko ugib je potrebnih za razbijanje gesel različnih dolžin.

  • Mala gesla (m = 26)
  • Velika in mala črka (m = 52)
  • Velika in mala črka ter posebni znaki (m = 67)

Čeprav kompleksnost in dolžina prispevata k trdnosti gesla, je dodajanje znaka veliko bolj dragoceno kot povečanje njegove zapletenosti.

Če dodate dodatni znak geslu s štirimi znaki in uporabite samo male črke, je 26-krat težje, a podvojitev možnih znakov na 52 (tj. Dodajanje velikih črk) samo 16-krat težje razbije..

Logaritmična lestvica naredi povezavo med dolžino gesla in zahtevanimi ugibanji, da se zlomi

Graf za prikaz obsega dolžine gesla glede na zahtevane poskuse ugibanja.

  • Mala gesla (m = 26)
  • Velika in mala črka (m = 52)
  • Velika in mala črka ter posebni znaki (m = 67)

Koliko časa traja, da pokvari geslo?

Kako hitro lahko napadalec pokvari vaše geslo, je odvisno od tega, kako hitra je računalnikova strojna oprema.

Navadni računalnik bi verjetno naredil približno 100.000 ugibanj na sekundo. Namenski GPU bi bil lahko 100-krat hitrejši od tega, zato je mogoče ustvariti farmo za pokanje gesla z več sto GPU-ji.

Če predpostavimo, da ima napadalec običajen računalnik, ki zmore 100.000 ugibanj na sekundo, bo vsako geslo z malimi črkami z manj kot šestimi znaki trajalo manj kot eno minuto.

Toda čas reševanja se povečuje eksponencialno, in osem-znakovno geslo bi potrebovalo 12 dni. Geslo z 12 znaki bi trajalo 12.000 let.

Ali je geslo z 12 znaki dovolj, je odvisno od vrednosti tega, kar ščiti in obsega napada. Če so napadalci le po enem cilju, bo v dosegu morda 12-mestno geslo.

Ključnega pomena je torej zaščititi dragocene podatke (kot so osebni podatki ali Bitcoin zasebni ključi) s precej daljšimi gesli. Na primer, če šifrirate denarnico Bitcoin, je dobra ideja ključ z več kot 32 znaki.

Več informacij kot ima napadalec, hitreje se bo zgodilo razpoka

Zgornji izračuni predvidevajo, da napadalec ne ve ničesar o geslu, razen o tem, ali vsebuje velike ali male črke.

V resnici naj bi imel napadalec nekaj ugibanj. Iz prejšnjih dešifriranih seznamov gesel vemo, kaj so najpogostejša gesla. Če določenega cilja ni, bi lahko napadalec razmeroma hitro preveril običajna gesla z e-poštnim seznamom.

Ljudje običajno izberejo tudi gesla, ki imajo na koncu samo številke (na primer hello111) in nekje vsebujejo ime storitve ali URL. Geslo, ki se uporablja za Gmail, ki vsebuje besed google ali gmail in ima na koncu štiri števke (na primer gmailpanther1234), je enostavno zlomiti, tudi če je dolgo.

Ljudje tudi ponavadi uporabljajo imena svojih hišnih ljubljenčkov ali otrok kot gesla, včasih v kombinaciji z datumi rojstva ali leti, zaradi česar je geslo lažje uganiti, kot si ljudje mislijo.

Uporabite močna gesla z upravitelji gesel

Najpomembnejše pravilo je: Vedno uporabljajte močno geslo.

Da se izognete težavam s sestavljanjem in zapomnjenjem toliko robustnih gesel, uporabite priročni generator gesel za priročno ustvarjanje dolgih, edinstvenih in resnično neuporabnih gesel.

Če nato shranite ta gesla z upraviteljem gesel, si boste morali zapomniti le eno geslo (ki ga lahko ustvarite z Diceware-om, da bi bilo dodatno varno). Poleg tega dvofaktorska overitev pomaga zaščititi račune pred še bolj zapletenimi napadi, kot so gesla, pridobljena s phishing napadi.