Консултантската компания Делойт прогнозира, че 90% от всички генерирани от потребителите пароли, дори и тези, които са считат за “силни”, ще станат много лесни за пробиване. Дънкан Стюарт, директор на научните изследвания в Делойт Канада, смята, че паролите, съдържащи най-малко осем символа, една цифра и други допълнителни символи – комбинация, някога смятана за изключително сериозна – вече няма да са сигурни. С подходящ софтуер и хардуер подобни пароли могат изключително бързо да бъдат разкривани.
Машина със софтуер за виртуализация и мощни графични процесорни блокове може да разбие осем символна парола за около пет часа, посочва още Стюарт. Тъй като паролите не могат да предложат по-солидна защита на нашето онлайн банкиране, то ще се наложат допълнителни мерки, като например втора парола, изпратена чрез SMS, биометрични данни и други варианти.
Миналата година на конференцията Passwords^12 в Осло експерт демонстрира как 14-символна парола може да бъде кракната под операционна система Windows XP само за шест минути с използване на най-добрия хардуер. Машината се състои от пет сървъра, които заедно образуват клъстър с общо 25 графични процесора (GPU)
При скорост на обработка от 20 гигабайта в секунда могат да се дешифрират всички възможни комбинации за 6 минути, твърди Джереми Госни, който по-рано разшифрова откраднатите 6,4 милиона пароли на LinkedIn. В теста със слаби NTLM хешове сглобената конфигурация постига обработка на 348 милиарда хешове в секунда.
простотии
Не е нищо друго освен поредната кампанията целяща да манипулира хората упорито ползващи ХР, да си купват новите видоуси 7 и 8.
Киро както пише в линка става въпрос да се кракне парола на Windows XP, а не по принцип. Алгоритъма за хеширане на Windows XP не е много добър, т.к разделя паролата на две части (ако е по-голяма от седем символа) и пази два хеша на макс седем символа. Това намалява броя на комбинациите значително. Естествено, че при това положение кракването става на порядъци по-лесно. Само дето това е в случая за XP. А да пробва тоя пич да кракне паролата на Windows 7 или примерно на някой Линукс. Да не говорим за разни програми за криптиране като PGP, TrueCrypt и т.н., които използват твърде добри алгоритми. Да brute force-неш тях дори на супер компютър е понастоящем невъзможно.
Да, някои хора приеха думите ми буквално и решиха, че са глупости. Ще опитам да обясня отново. Първо се взема хеша на криптираната парола и върху нея се прилага този инструмент използван в статията (http://hashcat.net). Има специални изисквания към хардуера, за да стане по-бързо. Ако нямате такъв хардуер, просто може да използвате облачна услуга за декриптирането на паролата и воала – имате паролата. Тъй като в повечето случаи метода на криптиране на паролата е еднопосочен, аналогично следва да се използва брут форс, като метод за декриптиране. Описаното дотук не може да застраши по никакъв начин банките и др. чужди системи, защото трябва да имате извлечен предварително хеша на криптираната парола.
От статията не става ясно каква точно парола може да се разбие за 5-ет часа. Както са посочили преди мен времето за разбиване зависи много от алгоритъма по който се криптира паролата. Повечето съвременни алгоритми предлагат достатъчно ниво на защита, че дори да ползваш всички компютри на света ще ти трябват милиарди години докато отгатнеш правилната парола. Т.е. докато не се уточни за какъв тип разбиване става въпрос, стаята си остава някак неясна и недописана, което означава, че този от Делойт хал хабер си няма за какво говори (или пък жирналята са копи пейстнали грешно).
Що за глупости говорят. Най-елементарната защита за блокиране на достъпа до акаунта след дестет неуспешни опита е напълно достатъчна, за да се предпазим и с 5 буквена парола.
Киро? Какви 3 опита на адрес? Обикновено се блокира не по ИП, а по акаунт. Освен това и да не беше така – сметни сумата на 70те възможни символа повдигнати на степените до 8ма раздели на 3…после раздели на две (за да получиш средния случай) и ми кажи колко ИП адреса ще ти трябват за да разбиеш една осем буквена парола? Аз мисля, че няма толкова ИП адреси, а не можеш да имаш контрол дори на процент от всички.
Аз не съм чувал някой да разбива пароли на уеб услуги по този начин (груба сила)? Тия методи биха сработили за някой РаР или ЗИП с парола. Има обаче други методи които предлагат единствено кодиране, но не и декодиране (примерно md5, sha, blowfish) – с тях какво правят – нищо.
Не съм много съгласен с твърдението, че разбиването на парола ще отнеме много време. Ами ако се използва облачен brute force с голям брой машини, работещи едновременно, нали времето ще се съкрати. Защитата на системата с блокиране, също няма да е ефикасна в случая, защото ще има поне по 3 опита за IP адрес.
Консултантската компания да си гледа работата и да не се занимава с неща стоящи по-високо от нея.
Ако се ползва генератор на пароли, тогава естествено че нещата стават изключително бавни…
Биометричните данни лесно се копират! А относно пращане чрез SMS – ами то по-добре без парола, направи с SMS да се влиза! А всъщност SMS-ът си струва пари…
Lud, само да допълня към това, което си казал: а пък ако се атакува система отвън, и тя няма защита срещу brute force атака (напр. блокиране на акаунт след 10 неуспешни опита или имаш право на нов опит след 30 минути при три неуспешни), то авторите на тая система да си търсят друга работа. Тия 5 часа са за непрекъснати опити ЛОКАЛНО. Така и баба знае… 😉
Да, 9 символна парола за 210 дни и тн. Представете си че ползвам password генератор и вадя парола като тази
idh_7P ?LV-@.o)GH*z9
с налучкване ще го разкрие като слънцето погълне земята и някъде пак се пръкнат хора ……