Kaip brutalios jėgos nulaužimas gali atskleisti jūsų slaptažodį

Plaktukas bando brutalia jėga atidaryti spyną.

Kriptografijoje žiaurios jėgos ataka bandoma iššifruoti užšifruotą turinį atspėjus šifravimo raktą. Ši ataka yra įmanoma, kai šifravimo raktas yra trumpas arba jei užpuolikas turi pakankamai informacijos, kad galėtų atspėti raktą..

Kalbant apie internetines formas, užpuolikai neturi daug laiko atspėti raktą. „Google“ ar „Facebook“ tik leis kam nors bandyti prisijungti prie jūsų sąskaitos tiek kartų, kol „užrakins“.

Kai įsilaužėliai gauna vidinę įmonės duomenų bazę, jie visą laiką pasaulyje turi atspėti jūsų slaptažodį - net jei jis užšifruotas.

Norėdami apsaugoti vartotojus, interneto svetainėse turėtų būti druskos ir maišos slaptažodžiai

Kai svetainės saugo jūsų slaptažodžius, jie turėtų (bet ne visada) druską ir maišyti vartotojo slaptažodžius, kad kažkas, turintis vartotojo duomenų bazę, negalėtų juo naudotis.

Maišymo funkcijos, tokios kaip SHA-256, yra vienpusės kriptografinės funkcijos. Bet kuris duomenų elementas, tekstas, vaizdas ar skaičius gali būti „maišyti“ ir nesvarbu, kiek įvesta, rezultatas visada bus 256 bitų ilgio. Kai užkoduota šešioliktainis (kaip toliau), gaunama 64 ženklų eilutė.

Sūdytos maišos suteikia papildomos apsaugos„Sūdytos“ maišos, vėl maišos pavyzdžiai.

Kaip užpuolikai nulaužia jūsų slaptažodį

Norėdami apsunkinti galimų įsilaužėlių problemas, svetainės pakeis slaptažodžius „druska“, kuri yra atsitiktinė duomenų dalis (sužinokite, kaip veikia sūdymas ir maišos).

Kompiuterio maišos iš teksto, paveikslėlio ar failo skaičiavimas yra nereikšmingas ir kompiuteriui nereikia daug laiko ar išteklių. Bet jei viskas, ką žinote, yra maišos, vienintelis būdas sužinoti pradinę vertę yra žiaurus jėgos puolimas. Štai kodėl maišos funkcija dar vadinama vienpusiu šifravimu. Pereiti nuo teksto prie maišos yra lengva, tačiau labai sunku pereiti kitu keliu.

Slaptažodžių krekeriai, turintys pavogtą vartotojų duomenų bazę, gali pamatyti naudotojų vardų sąrašą, kiekvieno vartotojo druskos vertę ir maišos.

Turėdami šias detales, jie gali bandyti atspėti kiekvieno vartotojo slaptažodžius, juos įtrinti druska ir maišu bei palyginti jų rezultatą su duomenų bazėje saugomu maišos slaptažodžiu. Jei maišos sutampa, jie žino, kad rado slaptažodį.

Užpuolikas turi tiksliai įvesti vartotojo vardą ir slaptažodį, nes pakeitus maišalyną net tik šiek tiek (kaip matyti aukščiau), maišas bus visiškai kitoks..

Kiek yra slaptažodžio derinių?

Tarkime, kad slaptažodį sudaro tik mažosios raidės, kiekvienam simboliui yra 26 galimybės. Todėl jūs tikėtumėte, kad per 13 bandymų galėsite atspėti vieno simbolio slaptažodį.

Dviejų ženklų slaptažodis turi 26 × 26 parinktis ir užtruktų (26 × 26) / 2 bandymų iššifruoti.

Formulė c = (m ^ n) / 2 apibūdina kiekvieno personažo galimybių santykį (m), slaptažodžio ilgis (n) ir numatomas spėjimų skaičius c).

Ryšys tarp slaptažodžio ilgio ir spėlionių, kaip jį nulaužti, skaičiaus

Diagrama, rodanti, kiek spėlionių reikia nulaužti įvairaus ilgio slaptažodžius.

  • Mažosios slaptažodžiai (m = 26)
  • Didžiosios ir mažosios raidės (m = 52)
  • Didžiosios ir mažosios raidės ir specialiosios raidės (m = 67)

Nors slaptažodžio tvirtumą lemia ir sudėtingumas, ir ilgis, daug svarbiau pridėti simbolį, nei padidinti jo sudėtingumą..

Pridėjus papildomą ženklą į keturių ženklų slaptažodį, naudojant tik mažąsias raides, jį nulaužti tampa 26 kartus sunkiau, tuo tarpu padvigubinant galimus ženklus iki 52 (t. Y. Pridedant didžiąsias raides) tik 16 kartų sunkiau nulaužti..

Dėl logaritminės skalės ryšys tarp slaptažodžio ilgio ir reikalingų spėjimų nulaužti tampa akivaizdesnis

Diagrama, parodanti slaptažodžio ilgio skalę pagal būtinus bandymus atspėti.

  • Mažosios slaptažodžiai (m = 26)
  • Didžiosios ir mažosios raidės (m = 52)
  • Didžiosios ir mažosios raidės ir specialiosios raidės (m = 67)

Kiek laiko reikia nulaužti slaptažodį?

Tai, kaip greitai užpuolikas gali nulaužti jūsų slaptažodį, priklauso nuo to, ar sparti yra užpuoliko kompiuterinė įranga.

Įprastas kompiuteris greičiausiai padarytų apie 100 000 spėjimų per sekundę. Paskirtas GPU gali būti 100 kartų greitesnis už tai, ir su šimtais GPU galima sukurti slaptažodžių nulaužimo fermą..

Jei darysime prielaidą, kad užpuolikas turi įprastą kompiuterį, galintį atlikti 100 000 spėjimų per sekundę, bet kurio mažosios raidės slaptažodžio, turinčio mažiau nei šešis simbolius, nulaužimas užtruks mažiau nei vieną minutę.

Bet sprendimo laikas pailgėja ir aštuonių ženklų slaptažodžio nulaužimas užtruks 12 dienų. 12 simbolių slaptažodis užtruktų daugiau nei 12 000 metų.

Ar pakanka 12 ženklų slaptažodžio, priklauso nuo to, ką jis apsaugo, ir išpuolio masto. Jei užpuolikai yra tik po vieną taikinį, 12 simbolių slaptažodis gali būti jiems pasiekiamas.

Taigi labai svarbu apsaugoti vertingus duomenis (pvz., Asmeninę informaciją ar „Bitcoin“ asmeninius raktus) žymiai ilgesniais slaptažodžiais. Šifruojant, pavyzdžiui, „Bitcoin“ piniginę, gali reikėti daugiau nei 32 simbolių rakto.

Kuo daugiau informacijos užpuolikas turi, tuo greičiau įvyks įtrūkimai

Aukščiau pateiktuose skaičiavimuose daroma prielaida, kad užpuolikas nieko nežino apie slaptažodį, išskyrus tai, ar jame yra didžiosios ar mažosios raidės.

Realybėje užpuolikas gali turėti tam tikrų spėjimų. Iš ankstesnių iššifruotų slaptažodžių sąrašų mes žinome, kokie yra dažniausi slaptažodžiai. Jei nėra konkretaus tikslo, užpuolikas gana greitai galėjo patikrinti įprastus slaptažodžius su el. Pašto sąrašu.

Žmonės taip pat linkę pasirinkti slaptažodžius, kurių pabaigoje yra tik skaičiai (pvz., Hello111), ir kai kur nurodo paslaugos pavadinimą arba URL. „Gmail“ naudojamas slaptažodis, kuriame yra žodžiai „google“ arba „gmail“, kurio pabaigoje yra keturi skaitmenys (pvz., „Gmailpanther1234“), lengva nulaužti, net jei jis ilgas.

Žmonės taip pat linkę naudoti slaptažodžius savo augintinių ar vaikų vardus, kartais kartu su gimimo datomis ar metais, kad jų slaptažodį būtų lengviau atspėti, nei žmonės galėtų pagalvoti..

Naudokite stiprius slaptažodžius naudodami slaptažodžių tvarkytuves

Svarbiausia taisyklė: Visada naudokite tvirtą slaptažodį.

Norėdami išvengti vargo sudarydami ir įsimindami tiek daug patikimų slaptažodžių, naudokite atsitiktinių slaptažodžių generatorių, kad patogiai sukurtumėte ilgus, unikalius ir tikrai nepastebimus slaptažodžius..

Tuomet išsaugodami tuos slaptažodžius naudodami slaptažodžių tvarkytuvę, turėsite atsiminti tik vieną slaptažodį (kurį galėtumėte sugeneruoti naudodami „Diceware“, kad jis būtų ypač saugus). Be to, dviejų veiksnių autentifikavimas padeda apsaugoti paskyras nuo dar sudėtingesnių atakų, pavyzdžiui, slaptažodžių, gautų sukčiavimo apsimetant atakomis..

Kaip brutalios jėgos nulaužimas gali atskleisti jūsų slaptažodį
admin Author
Sorry! The Author has not filled his profile.