Довгі паролі із залученням різних символів, включаючи символи поза межами алфавіту, вважаються надійним захистом від несанкціонованого доступу. Але поширення потужних хмарних серверів та їхня дешевизна дозволяє зловмисникам підбирати навіть такі паролі. Їм навіть не доводиться довго чекати або спустошувати свій гаманець.
Рекорд підбору паролів встановили минулого року – комп’ютер аналізував понад 100 000 000 000 фраз на секунду. Такого результату досягли за допомогою модифікованого додатку hashcat 6.0.0 та восьми стандартних відеокарт Nvidia 2080Ti. Ми розповідали як цією утилітою відкрити RAR-архів до якого забули пароль.
Підбір паролей є ключовим елементом атаки типу брутфорс. Онлайнові системи добре захищені від таких атак і часто обмежують кількість спроб введення паролів. Але зловмисники не працюють з «живими» системами, а аналізують хеші паролів на своїх машинах. Вже потім знайдений з хешу пароль використовується для доступу до цільової системи.
Функція хешування перетворює пароль в унікальне число. Наприклад, Pa$$w0rd після алгоритму хешування SHA1 перетворюється на 02726d40f378e716981c4321d60ba3a325ed6a4c. Особливість хешу в тому, що його легко отримати, але з нього складно вирахувати оригінальний пароль.
Проте, маючи потужний комп’ютер можна простим перебором можливих паролів досить швидко знайти такий пароль, хеш якого співпаде із заданим хешем. Це і буде цільовий пароль.
За допомогою «хмар» популярні 8-символьні паролі можна знайти з їхнього хешу за 12 хвилин і коштує це $25 у «хмарі» Amazon з серверами AWS p.3. Хакер з ніком Tinker розповів, що 8-символьний пароль будь-якої складності «ламається» менше, ніж за 2,5 години. Хакер радить перейти на 12-символьні паролі.
Подальше збільшення складності паролю натикається на проблеми людської пам’яті, а також необхідність пам’ятати десятки паролів. В середньому кожен користувач має пам’ятати 70-80 паролів. Частково ситуацію рятують менеджери паролів, з якими юзеру потрібно пам’ятати лише один пароль для доступу до них.