Відео: Маша и Медведь (Masha and The Bear) - Подкидыш (23 Серия) (Листопад 2024)
Навряд чи тиждень проходить без новин про порушення даних, що викриває мільйони чи мільярди паролів. У більшості випадків фактично викрито версія версії пароля, яка запускається через алгоритм хешування, а не сам пароль. Останній звіт Trustwave показує, що хешування не допомагає, коли користувачі створюють нерозумні паролі, і що довжина важливіша, ніж складність паролів.
Хакери зламають @ u8vRj & R3 * 4h, перш ніж вони зламаються StatelyPlumpBuckMulligan або ItWasTheBestOfTimes.
Викриваючи це
Ідея хешування - захищений веб-сайт ніколи не зберігає пароль користувача. Швидше, він зберігає результат запуску пароля через алгоритм хешування. Хешинг - це різновид одностороннього шифрування. Один і той же вхід завжди генерує той самий результат, але немає можливості повернутися від результату до початкового пароля. Коли ви входите в систему, серверне програмне забезпечення хеширує те, що ви ввели. Якщо він відповідає збереженому хешу, ви входите.
Проблема такого підходу полягає в тому, що погані хлопці також мають доступ до алгоритмів хешування. Вони можуть запускати будь-яку комбінацію символів для заданої довжини пароля через алгоритм і співставляти результати зі списком викрадених хешованих паролів. Для кожного хешу, який відповідає, вони розшифрували один пароль.
Протягом тисяч тестів на проникнення в мережу в 2013 році та на початку 2014 року дослідники Trustwave зібрали понад 600 000 хешованих паролів. Запускаючи хеш-крекінг код на потужних графічних процесорах, вони зламали понад половину паролів за лічені хвилини. Випробування тривали протягом місяця, в цей час вони зламали понад 90 відсотків зразків.
Паролі - ви робите це неправильно
Загальна мудрість стверджує, що пароль, що містить великі літери, малі літери, цифри та розділові знаки, важко зламати. Виявляється, це не зовсім вірно. Так, для зловмисника було б важко вгадати пароль на зразок N ^ a & $ 1nG, але, за словами Trustwave, зловмисник може зламати цього менш ніж за чотири дні. Навпаки, для зламання такого тривалого пароля, як GoodLuckGuessingThisPassword, знадобиться майже 18 років обробки.
Багато IT-відділів потребують паролів щонайменше восьми символів, що містять великі літери, малі літери та цифри. У звіті вказується, що, на жаль, "Пароль1" відповідає цим вимогам. Не випадково Password1 був найпоширенішим єдиним паролем у досліджуваній колекції.
Дослідники TrustWave також виявили, що користувачі будуть робити саме те, що потрібно, і не більше. Розбивши їх колекцію паролів за довжиною, вони виявили, що майже половина складала рівно вісім символів.
Зробіть їх довгими
Ми говорили це раніше, але це повторюється. Чим довше ваш пароль (або пароль), тим складніше хакерам зламати його. Введіть улюблену цитату чи пропозицію, пропустіть пробіли, і у вас є гідна парольна фраза.
Так, є й інші типи нападів злому. Замість того, щоб хешувати кожну комбінацію символів, атака словника стирає комбінації відомих слів, значно звужуючи сферу пошуку. Але, маючи досить довгий пароль, зламування грубої сили все-таки займе століття.
Повний звіт розрізає і нарізає дані різними способами. Наприклад, понад 100 000 зламаних паролів складалися з шести малих літер та двох цифр, як мавпа12. Якщо ви керуєте політикою щодо паролів, або якщо ви просто зацікавлені в тому, щоб зробити кращі паролі для себе, це обов'язково варто прочитати.