Направете паролите силни и дълги

Едва ли една седмица минава без новина за нарушение на данните, което излага милиони или милиарди пароли. В повечето случаи това, което всъщност е изложено, е версия на паролата, която се изпълнява чрез алгоритъм на хеширане, а не самата парола. Последният доклад от Trustwave показва, че хеширането не помага, когато потребителите създават глупави пароли и тази дължина е по-важна от сложността на паролите.

Хакерите ще се напукат @ u8vRj & R3 * 4h, преди да се напукат StatelyPlumpBuckMulligan или ItWasTheBestOfTimes.

Хеширане

Идеята зад хеширането е, че защитеният уебсайт никога не съхранява парола на потребителя. По-скоро, той съхранява резултата от стартиране на паролата чрез алгоритъм на хеширане. Хеширането е вид еднопосочно криптиране. Един и същ вход винаги генерира един и същ резултат, но няма начин да се върнете от резултата обратно към оригиналната парола. Когато влезете, софтуерът от страна на сървъра хешира това, което сте въвели. Ако съвпада със запазения хеш, влизате.

Проблемът с този подход е, че лошите също имат достъп до алгоритми за хеширане. Те могат да изпълняват всяка комбинация от знаци за дадена дължина на паролата чрез алгоритъма и да сравняват резултатите с списък на откраднати хеширани пароли. За всеки хеш, който съвпада, те са декодирали по една парола.

В течение на хиляди тестове за проникване в мрежата през 2013 г. и началото на 2014 г. изследователите от Trustwave събраха над 600 000 хеширани пароли. Пускайки хеш-крекинг код на мощни графични процесори, те пробиха над половината пароли за минути. Тестът продължи един месец, по това време те бяха напукали над 90 процента от пробите.

Пароли - правите го неправилно

Общата мъдрост гласи, че паролата, съдържаща големи букви, малки букви, цифри и препинателни знаци, е трудно да се спука. Оказва се, че това не е напълно вярно. Да, би било трудно за злоупотребител да отгатне парола като N ^ a & $ 1nG, но според Trustwave един нападател може да пробие този за по-малко от четири дни. За разлика от това, да се пропусне дълга парола като GoodLuckGuessingThisPassword ще изисква почти 18 години обработка.

Много ИТ отдели изискват пароли от поне осем знака, съдържащи големи букви, малки букви и цифри. Докладът подчертава, че за съжаление „Password1“ отговаря на тези изисквания. Неслучайно Password1 беше най-често срещаната единична парола в изследваната колекция.

Изследователите на TrustWave също откриха, че потребителите ще правят точно това, което им се налага, не повече. Разбивайки колекцията си по парола по дължина, те открили, че почти половината са точно осем знака.

Направете ги дълги

Казвахме го и преди, но това се повтаря. Колкото по-дълга е вашата парола (или парола), толкова по-трудно е хакерите да я пробият. Въведете любим цитат или изречение, като пропуснете интервалите и имате прилична парола.

Да, има и други видове атаки на крекинг. Вместо да хешира всяка комбинация от знаци, атака в речника хешира комбинации от известни думи, като стеснява значително обхвата на търсенето. Но при достатъчно дълга парола, крекингът с груба сила все пак ще отнеме векове.

Пълният отчет отрязва и нарязва данните по различни начини. Например над 100 000 от напуканите пароли се състоят от шест малки букви и две цифри, като маймуна12. Ако управлявате политиките за пароли или просто се интересувате да правите по-добри пароли за себе си, определено си струва да прочетете.