Длинные пароли с помощью различных символов, включая символы вне алфавита, считаются надежной защитой от несанкционированного доступа. Но распространение мощных облачных серверов и их дешевизна позволяет злоумышленникам подбирать даже такие пароли. Им даже не приходится долго ждать или опустошать свой кошелек.
Рекорд подбора паролей установили в прошлом году – компьютер анализировал более 100 000 000 000 фраз на секунду. Такого результата достигли за помощью модифицированного приложения hashcat 6.0.0 и восьми стандартных видеокарт Nvidia 2080Ti. Мы рассказывали как этой утилитой открыть RAR-архив к которому забыли пароль.
Подбор паролей является ключевым элементом атаки типа брутфорс. Онлайновые системы хорошо защищены от таких атак и часто ограничивают количество попыток ввода паролей. Но злоумышленники не работают с «живыми» системами, а анализируют хэши паролей на своих машинах. Уже потом найден из хеша пароль используется для доступа к целевой системе.
Функция хэширования преобразует пароль в уникальное число. Например, Pa $ $ w0rd после алгоритма хэширования SHA1 превращается в 02726D40F378E716981C4321D60BA3A325ED6A4C. Особенность хэша в том, что его легко получить, но из него сложно высчитать оригинальный пароль.
Тем не менее, имея мощный компьютер можно простым перебором возможных паролей достаточно быстро найти такой пароль, хэш которого совпадет с заданным хэшем. Это и будет целевой пароль.
С помощью «облаков» популярные 8-символьные пароли можно найти по их хешу за 12 минут и стоит это $25 в «облаке» Amazon с серверами AWS p.3. Хакер с ником Tinker рассказал, что 8-символьный пароль любой сложности «ломается» меньше, чем за 2,5 часа. Хакер советует перейти на 12-символьные пароли.
Дальнейшее увеличение сложности пароля натыкается на проблемы человеческой памяти, а также необходимость помнить десятки паролей. В среднем каждый пользователь должен помнить 70-80 паролей. Частично ситуацию спасают менеджеры паролей, с которыми юзеру нужно помнить лишь один пароль для доступа к ним.
