Video: Позови нубика , он всех спасёт. (Decembris 2024)
Gandrīz nedēļa paiet bez ziņām par datu pārkāpumiem, kas pakļauj miljoniem vai miljardiem paroļu. Vairumā gadījumu faktiski tiek atklāta paroles versija, kas tiek darbināta ar sajaukšanas algoritmu, nevis pati parole. Jaunākais Trustwave ziņojums liecina, ka sajaukšana nepalīdz, ja lietotāji izveido muļķīgas paroles, un ka garums ir svarīgāks nekā paroļu sarežģītība.
Hakeri krekinga @ u8vRj & R3 * 4h, pirms tie krekinga StatelyPlumpBuckMulligan vai ItWasTheBestOfTimes.
Sajaucot to ārā
Jaukšanas ideja ir tāda, ka drošā vietnē nekad netiek glabāta lietotāja parole. Tas drīzāk saglabā paroles palaides rezultātu, izmantojot sajaukšanas algoritmu. Sajaukšana ir sava veida vienvirziena šifrēšana. Viena un tā pati ievade vienmēr rada tādu pašu rezultātu, taču nevar atgriezties pie rezultāta pie sākotnējās paroles. Kad piesakāties, servera puses programmatūra sajauc jūsu ievadīto. Ja tas atbilst saglabātajam hash, jūs atrodaties.
Šīs pieejas problēma ir tā, ka sliktajiem puišiem ir arī piekļuve hashinga algoritmiem. Viņi var algoritmā palaist katru rakstzīmju kombināciju noteiktā paroles garumā un salīdzināt rezultātus ar nozagto sajaukto paroļu sarakstu. Par katru atbilstošo hash viņi ir dekodējuši vienu paroli.
Tūkstošiem tīkla iespiešanās testu laikā 2013. gadā un 2014. gada sākumā Trustwave pētnieki savāca vairāk nekā 600 000 sajauktu paroļu. Palaižot jaukšanas krekinga kodu jaudīgajos GPU, minūtēs viņi uzlauza vairāk nekā pusi paroļu. Pārbaude turpinājās mēnesi, kurā viņi bija uzlauzuši vairāk nekā 90 procentus paraugu.
Paroles - jūs darāt to nepareizi
Kopējā gudrība uzskata, ka parole, kurā ir lielie burti, mazie burti, cipari un pieturzīmes, ir grūti uzlauzt. Izrādās, tā nav gluži taisnība. Jā, ļaundaram būtu grūti uzminēt tādu paroli kā N ^ a un $ 1 nG, taču saskaņā ar Trustwave datiem uzbrucējs to varētu uzlauzt mazāk nekā četrās dienās. Turpretī tādas ilgas paroles kā, piemēram, GoodLuckGuessingThisPassword, uzlaušanai būs nepieciešama gandrīz 18 gadu ilga apstrāde.
Daudzi IT departamenti pieprasa vismaz astoņu zīmju paroles, kas satur lielos burtus, mazos burtus un ciparus. Ziņojumā norādīts, ka diemžēl "Password1" atbilst šīm prasībām. Nejauši, ka Password1 bija visizplatītākā vienotā parole pētāmajā kolekcijā.
TrustWave pētnieki arī atklāja, ka lietotāji darīs tieši to, kas viņiem jādara, ne vairāk. Sadalot paroļu kolekciju pēc garuma, viņi atklāja, ka gandrīz puse bija tieši astoņas rakstzīmes.
Padariet tos garus
Mēs jau iepriekš to teicām, bet tas atkārtojas. Jo garāka parole (vai ieejas frāze), jo grūtāk hakeriem ir to uzlauzt. Ierakstiet iecienīto citātu vai teikumu, izlaižot atstarpes, un jums ir pienācīga ieejas frāze.
Jā, ir arī citi krekinga uzbrukumu veidi. Tā vietā, lai sajauktu katru rakstzīmju kombināciju, vārdnīcas uzbrukums sajauc zināmo vārdu kombinācijas, ievērojami sašaurinot meklēšanas jomu. Bet ar pietiekami garu paroli brutālu spēku uzlaušana joprojām prasītu gadsimtus.
Pilnajā pārskatā dati tiek sadalīti un sadalīti dažādos veidos. Piemēram, vairāk nekā 100 000 no uzlauztās paroles sastāvēja no sešiem mazajiem burtiem un diviem cipariem, piemēram, pērtiķis12. Ja pārvaldāt paroļu politikas vai ja jūs vienkārši interesē, kā labāk izveidot paroles, noteikti ir vērts to izlasīt.
