Четверг, 20 июня, 2024

Взломать 8-символьный пароль потребует 12 минут и стоит $25

Длинные пароли с помощью различных символов, включая символы вне алфавита, считаются надежной защитой от несанкционированного доступа. Но распространение мощных облачных серверов и их дешевизна позволяет злоумышленникам подбирать даже такие пароли. Им даже не приходится долго ждать или опустошать свой кошелек.

Рекорд подбора паролей установили в прошлом году – компьютер анализировал более 100 000 000 000 фраз на секунду. Такого результата достигли за помощью модифицированного приложения hashcat 6.0.0 и восьми стандартных видеокарт Nvidia 2080Ti. Мы рассказывали как этой утилитой открыть RAR-архив к которому забыли пароль.

Подбор паролей является ключевым элементом атаки типа брутфорс. Онлайновые системы хорошо защищены от таких атак и часто ограничивают количество попыток ввода паролей. Но злоумышленники не работают с «живыми» системами, а анализируют хэши паролей на своих машинах. Уже потом найден из хеша пароль используется для доступа к целевой системе.

Функция хэширования преобразует пароль в уникальное число. Например, Pa $ $ w0rd после алгоритма хэширования SHA1 превращается в 02726D40F378E716981C4321D60BA3A325ED6A4C. Особенность хэша в том, что его легко получить, но из него сложно высчитать оригинальный пароль.

Тем не менее, имея мощный компьютер можно простым перебором возможных паролей достаточно быстро найти такой пароль, хэш которого совпадет с заданным хэшем. Это и будет целевой пароль.

С помощью «облаков» популярные 8-символьные пароли можно найти по их хешу за 12 минут и стоит это $25 в «облаке» Amazon с серверами AWS p.3. Хакер с ником Tinker рассказал, что 8-символьный пароль любой сложности «ломается» меньше, чем за 2,5 часа. Хакер советует перейти на 12-символьные пароли.

Дальнейшее увеличение сложности пароля натыкается на проблемы человеческой памяти, а также необходимость помнить десятки паролей. В среднем каждый пользователь должен помнить 70-80 паролей. Частично ситуацию спасают менеджеры паролей, с которыми юзеру нужно помнить лишь один пароль для доступа к ним.

Євген
Євген
Евгений пишет для TechToday с 2012 года. По образованию инженер,. Увлекается реставрацией старых автомобилей.

Vodafone

Залишайтеся з нами

10,052Фанитак
1,445Послідовникислідувати
105Абонентипідписуватися