Video: Passenger | Let Her Go (Official Video) (Oktober 2024)
Der går næppe en uge uden nyheder om et dataovertrædelse, der afslører millioner eller milliarder af adgangskoder. I de fleste tilfælde er der faktisk en eksponering af en adgangskode, der er blevet kørt gennem en hashingsalgoritme, ikke selve adgangskoden. Den seneste rapport fra Trustwave viser, at hashing ikke hjælper, når brugerne opretter dumme adgangskoder, og at længden er vigtigere end kompleksiteten i adgangskoder.
Hackere vil knække @ u8vRj & R3 * 4 timer, før de knækker StatelyPlumpBuckMulligan eller ItWasTheBestOfTimes.
Hashing It Out
Tanken bag hashing er, at det sikre websted aldrig gemmer en brugers adgangskode. Snarere lagrer det resultatet af at køre adgangskoden gennem en hash-algoritme. Hashing er en slags envejskryptering. Den samme input genererer altid det samme resultat, men der er ingen måde at gå fra resultatet tilbage til det originale kodeord. Når du logger ind, hasser softwarens side det, du indtastede. Hvis det matcher den gemte hash, er du inde.
Problemet med denne tilgang er, at de slemme fyre også har adgang til hash-algoritmer. De kan køre hver kombination af tegn for en given adgangskodelængde gennem algoritmen og matche resultaterne mod en liste med stjålne hashede adgangskoder. For hver hash, der matcher, har de afkodet en adgangskode.
I løbet af tusinder af netværkspenetrationstest i 2013 og begyndelsen af 2014 indsamlede Trustwave-forskere over 600.000 hashede adgangskoder. Kører hash-cracking-kode på magtfulde GPU'er, de knækkede over halvdelen af adgangskoder på få minutter. Testen fortsatte i en måned, på hvilket tidspunkt de havde brudt over 90 procent af prøverne.
Adgangskoder - du laver det forkert
Almindelig visdom hævder, at et kodeord, der indeholder store bogstaver, små bogstaver, cifre og tegnsætning, er svært at knække. Det viser sig, at det ikke er helt sandt. Ja, det ville være svært for en ondsindet at gætte et kodeord som N ^ a & $ 1nG, men ifølge Trustwave kunne en angriberen knække den ene på mindre end fire dage. I modsætning hertil kræver næsten 18 års behandling at knække en lang adgangskode som GoodLuckGuessingThisPassword.
Mange it-afdelinger kræver adgangskoder på mindst otte tegn, der indeholder store bogstaver, små bogstaver og cifre. Rapporten påpeger, at "Password1" desværre opfylder disse krav. Ikke tilfældigt var Password1 det mest almindelige enkelt adgangskode i den undersøgte samling.
TrustWaves forskere fandt også, at brugere vil gøre nøjagtigt, hvad de er forpligtet til at gøre, ikke mere. Ved at opdele deres kodeordssamling efter længde fandt de, at næsten halvdelen var nøjagtigt otte tegn.
Gør dem lange
Vi har sagt det før, men det gentager sig. Jo længere din adgangskode (eller adgangskode) er, desto sværere er det for hackere at knække det. Indtast et foretrukne citat eller sætning, udelad mellemrum, og du har en anstændig adgangskode.
Ja, der er andre typer crackingangreb. I stedet for hash hver enkelt kombination af tegn, hascher et ordbogangreb kombinationer af kendte ord, hvilket indsnævrer omfanget af søgningen markant. Men med en lang nok adgangskode ville brute-force krakning stadig tage århundreder.
Den fulde rapport skiver og terninger dataene på forskellige måder. For eksempel bestod over 100.000 af de knækkede adgangskoder af seks små bogstaver og to cifre, som abe12. Hvis du administrerer adgangskodepolitikker, eller hvis du bare er interesseret i at lave bedre adgangskoder til dig selv, er det bestemt værd at læse.
