Video: Password: Risolviamo il PROBLEMA! (Settembre 2024)
Passa quasi una settimana senza notizie di una violazione dei dati che espone milioni o miliardi di password. Nella maggior parte dei casi, ciò che è effettivamente esposto è una versione della password che è stata eseguita attraverso un algoritmo di hashing, non la password stessa. L'ultimo rapporto di Trustwave mostra che l'hash non aiuta quando gli utenti creano password stupide e che la lunghezza è più importante della complessità delle password.
Gli hacker cracceranno @ u8vRj e R3 * 4h prima di craccare StatelyPlumpBuckMulligan o ItWasTheBestOfTimes.
Hashing It Out
L'idea alla base dell'hash è che il sito Web sicuro non memorizza mai la password di un utente. Piuttosto, memorizza il risultato dell'esecuzione della password attraverso un algoritmo di hashing. L'hash è una specie di crittografia unidirezionale. Lo stesso input genera sempre lo stesso risultato, ma non c'è modo di tornare dal risultato alla password originale. Quando accedi, il software sul lato server esegue l'hashing di ciò che hai inserito. Se corrisponde all'hash salvato, ci sei.
Il problema con questo approccio è che i cattivi hanno anche accesso agli algoritmi di hashing. Possono eseguire tutte le combinazioni di caratteri per una determinata lunghezza della password attraverso l'algoritmo e confrontare i risultati con un elenco di password con hash rubate. Per ogni hash corrispondente, hanno decodificato una password.
Nel corso di migliaia di test di penetrazione della rete nel 2013 e all'inizio del 2014, i ricercatori di Trustwave hanno raccolto oltre 600.000 password con hash. Eseguendo il codice hash-cracking su potenti GPU, hanno infranto la metà delle password in pochi minuti. Il test è continuato per un mese, momento in cui avevano superato il 90 percento dei campioni.
Password: lo stai facendo male
La saggezza comune sostiene che una password contenente lettere maiuscole, lettere minuscole, cifre e punteggiatura è difficile da decifrare. Si scopre che non è del tutto vero. Sì, sarebbe difficile per un malfattore indovinare una password come N ^ a & $ 1nG, ma secondo Trustwave un utente malintenzionato potrebbe decifrare quella in meno di quattro giorni. Al contrario, decifrare una password lunga come GoodLuckGuessingThisPassword richiederebbe quasi 18 anni di elaborazione.
Molti dipartimenti IT richiedono password di almeno otto caratteri, contenenti lettere maiuscole, lettere minuscole e cifre. Il rapporto sottolinea che, purtroppo, "Password1" soddisfa questi requisiti. Non a caso, Password1 era la singola password più comune nella raccolta in studio.
I ricercatori di TrustWave hanno anche scoperto che gli utenti faranno esattamente ciò che devono fare, non di più. Abbattendo la loro raccolta di password per lunghezza, hanno scoperto che quasi la metà era esattamente di otto caratteri.
Allungali
Lo abbiamo già detto, ma vale la pena ripeterlo. Più lunga è la tua password (o passphrase), più difficile sarà per gli hacker decifrarla. Digita una frase o frase preferita, omettendo gli spazi, e hai una passphrase decente.
Sì, ci sono altri tipi di attacchi di cracking. Anziché eseguire l'hashing di ogni singola combinazione di caratteri, un attacco del dizionario esegue l'hashing di combinazioni di parole note, restringendo in modo significativo l'ambito della ricerca. Ma con una password abbastanza lunga, il cracking della forza bruta richiederebbe ancora secoli.
Il rapporto completo suddivide e taglia i dati in vari modi. Ad esempio, oltre 100.000 delle password incrinate erano composte da sei lettere minuscole e due cifre, come scimmia12. Se gestisci i criteri delle password o se sei solo interessato a creare password migliori per te, vale sicuramente la pena leggere.
