Πόσο σκληρή ρωγμή δύναται να αποκαλύψει τον κωδικό πρόσβασής σας

Ένα σφυρί προσπαθεί να χτυπήσει τη δύναμη να ανοίξει ένα λουκέτο.


Στην κρυπτογραφία, μια επίθεση βίαιης δύναμης προσπαθεί να αποκρυπτογραφήσει κρυπτογραφημένο περιεχόμενο, υποθέτοντας το κλειδί κρυπτογράφησης. Αυτή η επίθεση είναι εφικτή όταν το κλειδί κρυπτογράφησης είναι σύντομο ή εάν ένας εισβολέας έχει επαρκείς πληροφορίες για να προσπαθήσει να μαντέψει το κλειδί.

Όταν πρόκειται για φόρμες διαδικτύου, οι επιτιθέμενοι δεν έχουν πολύ χρόνο να μαντέψουν ένα κλειδί. Το Google ή το Facebook θα επιτρέψει σε κάποιον να προσπαθήσει να συνδεθεί στον λογαριασμό σας τόσες φορές πριν “κλειδώσει”.

Όταν οι χάκερ αποκτούν την εσωτερική βάση δεδομένων μιας επιχείρησης, ωστόσο, έχουν όλο τον χρόνο στον κόσμο για να μαντέψουν τον κωδικό πρόσβασής σας – ακόμα κι αν είναι κρυπτογραφημένοι.

Οι ιστότοποι πρέπει να περιέχουν αλάτι και κωδικούς πρόσβασης για την προστασία των χρηστών

Όταν οι ιστοτόποι αποθηκεύουν τους κωδικούς πρόσβασής σας, πρέπει (αλλά όχι πάντα) να αλατίζουν και να καταργούν τους κωδικούς πρόσβασης των χρηστών, έτσι ώστε κάποιος που έχει στην κατοχή του τη βάση δεδομένων χρήστη να μην μπορεί να το χρησιμοποιήσει.

Οι λειτουργίες Hash, όπως το SHA-256, είναι μονόδρομες κρυπτογραφικές λειτουργίες. Οποιοδήποτε κομμάτι δεδομένων, κειμένου, εικόνας ή αριθμού μπορεί να έχει “χυθεί” και ανεξάρτητα από το πόσο χρονικό διάστημα είναι η είσοδος, το αποτέλεσμα θα είναι πάντα 256 bit. Όταν κωδικοποιείται σε δεκαεξαδικό (όπως παρακάτω), αυτό οδηγεί σε μια συμβολοσειρά 64 χαρακτήρων.

Τα αλατισμένα hashes προσφέρουν επιπλέον προστασίαΠαραδείγματα “αλμυρών” χασίς, χύνονται πάλι.

Πώς οι εισβολείς σπάσουν τον κωδικό πρόσβασής σας

Για να καταστήσουμε τα πράγματα δύσκολα για τους πιθανούς χάκερ, οι ιστότοποι θα τροποποιήσουν τους κωδικούς πρόσβασης με ένα “αλάτι”, το οποίο είναι ένα τυχαίο κομμάτι δεδομένων (δείτε πώς λειτουργεί το αλάτισμα και το hashing).

Ο υπολογισμός ενός hash από κείμενο, μια εικόνα ή ένα αρχείο είναι ασήμαντο και δεν θα πάρει έναν υπολογιστή σημαντικό χρονικό διάστημα ή πόρους. Αλλά αν το μόνο που ξέρετε είναι το hash, ο μόνος τρόπος για να μάθετε την αρχική αξία είναι μια επίθεση βίαιης δύναμης. Αυτός είναι ο λόγος για τον οποίο μια λειτουργία κατακερματισμού καλείται επίσης μονόδρομη κρυπτογράφηση. Είναι εύκολο να μεταβείτε από το κείμενο στο hash, αλλά πολύ δύσκολο να πάτε με τον άλλο τρόπο.

Οι κωδικοποιητές κωδικού πρόσβασης που έχουν στην κατοχή τους μια κλεμμένη βάση δεδομένων χρηστών μπορεί να δουν τη λίστα με τα ονόματα χρήστη, την τιμή άλατος για κάθε χρήστη και την κατακερματισμό.

Με αυτές τις λεπτομέρειες, μπορούν να επιχειρήσουν να μαντέψουν τους κωδικούς πρόσβασης κάθε χρήστη, να το αλάψουν και να τους καταργήσουν και να ελέγξουν το αποτέλεσμά τους σε σχέση με το hash που έχει αποθηκευτεί στη βάση δεδομένων. Εάν τα hash συμφωνούν, ξέρουν ότι έχουν βρει τον κωδικό πρόσβασης.

Ένας εισβολέας πρέπει να εισάγει ακριβώς το όνομα χρήστη και τον κωδικό πρόσβασης, καθώς η αλλαγή του κατακερματισμού ακόμη και ένα μικρό κομμάτι (όπως φαίνεται παραπάνω) θα έχει ως αποτέλεσμα ένα εντελώς διαφορετικό hash.

Πόσοι συνδυασμοί κωδικών υπάρχουν?

Υποθέτοντας ότι ένας κωδικός πρόσβασης αποτελείται μόνο από πεζά γράμματα, για κάθε χαρακτήρα υπάρχουν 26 δυνατότητες. Ως εκ τούτου, αναμένετε να είστε σε θέση να μαντέψετε έναν μονοψήφιο κωδικό πρόσβασης σε 13 προσπάθειες.

Ένας κωδικός πρόσβασης δύο χαρακτήρων έχει 26 × 26 επιλογές και θα λάβει (26 × 26) / 2 προσπάθειες για αποκρυπτογράφηση.

Ο τύπος c = (m ^ n) / 2 περιγράφει τη σχέση μεταξύ των δυνατοτήτων για κάθε χαρακτήρα (Μ), το μήκος του κωδικού πρόσβασης (η) και τον αναμενόμενο αριθμό εικασιών (ντο).

Η σχέση μεταξύ του μήκους του κωδικού πρόσβασης και του αριθμού των εικασιών για την κατάρρευση του

Ένα γράφημα για να δείξετε πόσες εικασίες χρειάζεται για να σπάσετε κωδικούς πρόσβασης διαφόρων μηκών.

  • Μικροί κωδικοί πρόσβασης (m = 26)
  • Με κεφαλαία και πεζά (m = 52)
  • Πάνω και πεζά και ειδικοί χαρακτήρες (m = 67)

Ενώ τόσο η πολυπλοκότητα όσο και το μήκος συμβάλλουν στη δύναμη του κωδικού πρόσβασης, είναι πολύ πιο πολύτιμο να προσθέσετε έναν χαρακτήρα παρά να αυξήσετε την πολυπλοκότητά του.

Η προσθήκη ενός επιπλέον χαρακτήρα σε έναν τετραψήφιο κωδικό, που χρησιμοποιεί μόνο πεζούς χαρακτήρες, το κάνει 26 φορές πιο δύσκολο να σπάσει, ενώ ο διπλασιασμός των πιθανών χαρακτήρων σε 52 (δηλαδή η προσθήκη κεφαλαίων χαρακτήρων) καθιστά απλώς 16 φορές πιο δύσκολο να σπάσει.

Η λογαριθμική κλίμακα καθιστά πιο εμφανή τη σχέση μεταξύ του μήκους του κωδικού πρόσβασης και των απαιτούμενων εικασιών

Ένα γράφημα για να δείξει την κλίμακα του μήκους του κωδικού πρόσβασης σε σχέση με τις απαιτούμενες προσπάθειες για να το μαντέψει.

  • Μικροί κωδικοί πρόσβασης (m = 26)
  • Με κεφαλαία και πεζά (m = 52)
  • Πάνω και πεζά και ειδικοί χαρακτήρες (m = 67)

Πόσο καιρό χρειάζεται για να σπάσει κάποιον κωδικό πρόσβασης?

Πόσο γρήγορα ένας εισβολέας μπορεί να σπάσει τον κωδικό σας εξαρτάται από το πόσο γρήγορα είναι το υλικό του υπολογιστή του εισβολέα.

Ένας κανονικός υπολογιστής θα μπορούσε να κάνει περίπου 100.000 εικασίες ανά δευτερόλεπτο. Μια ειδική GPU μπορεί να είναι 100 φορές πιο γρήγορη από αυτή και είναι πιθανό να δημιουργηθεί ένα κτηνοτροφικό σκάφος με εκατοντάδες μονάδες GPU.

Αν υποθέσουμε ότι ο επιτιθέμενος έχει έναν κανονικό υπολογιστή, ικανό για 100.000 εικασίες ανά δευτερόλεπτο, οποιοσδήποτε μικρός κωδικός πρόσβασης με λιγότερους από έξι χαρακτήρες θα διαρκέσει λιγότερο από ένα λεπτό για να σπάσει.

Αλλά ο χρόνος επίλυσης αυξάνεται εκθετικά και ένας κωδικός οκτώ χαρακτήρων θα χρειαστεί 12 ημέρες για να σπάσει. Ο κωδικός πρόσβασης των 12 χαρακτήρων θα διαρκέσει πάνω από 12.000 χρόνια.

Το εάν ένας κωδικός πρόσβασης για 12 χαρακτήρες είναι αρκετός εξαρτάται από την αξία του τι προστατεύει και από την κλίμακα της επίθεσης. Εάν οι επιτιθέμενοι είναι μόνο μετά από έναν μόνο στόχο, ένας κωδικός πρόσβασης 12 χαρακτήρων μπορεί να είναι εφικτός.

Είναι λοιπόν πολύ σημαντικό να προστατεύετε πολύτιμα δεδομένα (όπως προσωπικές πληροφορίες ή ιδιωτικά κλειδιά Bitcoin) με πολύ μεγαλύτερους κωδικούς πρόσβασης. Όταν κρυπτογραφείτε το πορτοφόλι Bitcoin, για παράδειγμα, ένα κλειδί με πάνω από 32 χαρακτήρες μπορεί να είναι μια καλή ιδέα.

Όσο περισσότερες πληροφορίες έχει ένας εισβολέας, τόσο πιο γρήγορα θα συμβεί μια ρωγμή

Οι παραπάνω υπολογισμοί υποθέτουν ότι ο εισβολέας δεν γνωρίζει τίποτα για τον κωδικό πρόσβασης, εκτός από το αν περιέχει κεφαλαίους ή πεζούς χαρακτήρες.

Στην πραγματικότητα, ο επιτιθέμενος μπορεί να έχει κάποιες εικασίες. Από προηγούμενες αποκρυπτογραφημένες λίστες κωδικών πρόσβασης γνωρίζουμε ποιοι είναι οι συνηθέστεροι κωδικοί πρόσβασης. Εάν δεν υπάρχει συγκεκριμένος στόχος, ένας εισβολέας θα μπορούσε να ελέγξει τους κοινούς κωδικούς πρόσβασης με μια λίστα ηλεκτρονικού ταχυδρομείου σχετικά γρήγορα.

Οι άνθρωποι τείνουν επίσης να επιλέγουν κωδικούς πρόσβασης που έχουν μόνο αριθμούς στο τέλος (όπως το hello111) και περιλαμβάνουν το όνομα της υπηρεσίας ή τη διεύθυνση URL κάπου. Ένας κωδικός πρόσβασης που χρησιμοποιείται για το Gmail που περιέχει τις λέξεις google ή gmail και έχει τέσσερα ψηφία στο τέλος (όπως το gmailpanther1234) είναι εύκολο να σπάσει, ακόμα και αν είναι μακρύς.

Οι άνθρωποι τείνουν επίσης να χρησιμοποιούν ονόματα των κατοικίδιων ζώων ή των παιδιών τους ως κωδικούς πρόσβασης, ορισμένες φορές σε συνδυασμό με ημερομηνίες ή χρόνια γέννησης, καθιστώντας τον κωδικό τους πιο εύκολο να μαντέψουν από ό,.

Χρησιμοποιήστε ισχυρούς κωδικούς πρόσβασης με τους διαχειριστές κωδικών πρόσβασης

Ο πιο σημαντικός κανόνας είναι: Να χρησιμοποιείτε πάντα έναν ισχυρό κωδικό πρόσβασης.

Για να αποφύγετε την ταλαιπωρία του να δημιουργείτε και να θυμάστε τόσους πολλούς ισχυρούς κωδικούς πρόσβασης, χρησιμοποιήστε μια τυχαία γεννήτρια κωδικών για να δημιουργήσετε εύκολα μακρούς, μοναδικούς και πραγματικά αβέβαιους κωδικούς πρόσβασης.

Αν στη συνέχεια αποθηκεύσετε αυτούς τους κωδικούς πρόσβασης με έναν διαχειριστή κωδικών πρόσβασης, θα πρέπει να θυμάστε μόνο έναν κωδικό πρόσβασης (τον οποίο θα μπορούσατε να δημιουργήσετε με το Diceware, για να το κάνετε πιο ασφαλές). Επιπλέον, ο έλεγχος ταυτότητας δύο παραγόντων συμβάλλει στην προστασία των λογαριασμών από ακόμη πιο περίπλοκες επιθέσεις, όπως οι κωδικοί πρόσβασης που αποκτώνται μέσω επιθέσεων ηλεκτρονικού “ψαρέματος” (phishing).

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map