Сделайте пароли сильными и длинными

Едва неделя проходит без новостей о взломе данных, который раскрывает миллионы или миллиарды паролей. В большинстве случаев на самом деле раскрывается версия пароля, которая была запущена с помощью алгоритма хеширования, а не сам пароль. В последнем отчете Trustwave показано, что хеширование не помогает, когда пользователи создают глупые пароли, и эта длина важнее, чем сложность паролей.

Хакеры взломают @ u8vRj & R3 * 4h, прежде чем взломать StatelyPlumpBuckMulligan или ItWasTheBestOfTimes.

Хеширование

Идея хеширования заключается в том, что безопасный сайт никогда не хранит пароль пользователя. Скорее, он хранит результат запуска пароля через алгоритм хеширования. Хеширование - это разновидность одностороннего шифрования. Один и тот же вход всегда генерирует один и тот же результат, но нет способа вернуться от результата к исходному паролю. Когда вы входите в систему, серверное программное обеспечение хэширует то, что вы ввели. Если он совпадает с сохраненным хешем, вы в.

Проблема этого подхода в том, что плохие парни также имеют доступ к алгоритмам хеширования. Они могут запускать любую комбинацию символов для заданной длины пароля с помощью алгоритма и сопоставлять результаты со списком украденных хешированных паролей. Для каждого соответствующего хэша они декодируют один пароль.

В ходе тысяч тестов на проникновение в сеть в 2013 году и в начале 2014 года исследователи Trustwave собрали более 600 000 хешированных паролей. Запустив хеш-код на мощных графических процессорах, они взломали более половины паролей за считанные минуты. Испытание продолжалось в течение месяца, когда они взломали более 90 процентов образцов.

Пароли - вы делаете это неправильно

Распространено мнение, что пароль, содержащий заглавные буквы, строчные буквы, цифры и знаки препинания, трудно взломать. Оказывается, это не совсем так. Да, злоумышленнику было бы сложно угадать пароль типа N ^ a & $ 1nG, но, согласно Trustwave, злоумышленник может взломать его менее чем за четыре дня. Напротив, взлом длинного пароля, такого как GoodLuckGuessingThisPassword, потребовал бы почти 18 лет обработки.

Многие ИТ-отделы нуждаются в паролях длиной не менее восьми символов, содержащих заглавные буквы, строчные буквы и цифры. В отчете указывается, что, к сожалению, «Password1» соответствует этим требованиям. Не случайно, Password1 был наиболее распространенным единичным паролем в исследуемой коллекции.

Исследователи TrustWave также обнаружили, что пользователи будут делать именно то, что им нужно, не более того. Разобрав их пароли по длине, они обнаружили, что почти половина была ровно восемью символами.

Сделать их долго

Мы говорили об этом раньше, но это стоит повторить. Чем дольше ваш пароль (или пароль), тем сложнее взломщикам взломать его. Введите любимую цитату или предложение, пропуская пробелы, и вы получите достойную фразу-пароль.

Да, есть и другие виды атак на взлом. Вместо хэширования каждой отдельной комбинации символов атака по словарю хэширует комбинации известных слов, значительно сужая область поиска. Но с достаточно длинным паролем взлом будет продолжаться веками.

Полный отчет разрезает и нарезает данные различными способами. Например, более 100 000 взломанных паролей состояли из шести строчных букв и двух цифр, как monkey12. Если вы управляете политикой паролей или если вы просто заинтересованы в создании более надежных паролей для себя, это, безусловно, стоит прочитать.