Un computer poate ghici mai mult de 100.000.000.000.000 de parole pe secundă. Încă mai crezi că a ta este sigură?

octombrie 7, 2021
| Niciun comentariu

Pasapoartele au fost folosite de mii de ani ca mijloc de a ne identifica în fața celorlalți și, mai recent, în fața calculatoarelor. Este un concept simplu – o informație comună, ținută secretă între indivizi și folosită pentru a „dovedi” identitatea.

Pasapoartele într-un context IT au apărut în anii 1960, odată cu computerele mainframe – computere mari operate la nivel central cu „terminale” la distanță pentru accesul utilizatorilor. În prezent, ele sunt folosite pentru orice, de la PIN-ul pe care îl introducem la un bancomat, până la conectarea la computerele noastre și la diverse site-uri web.

Dar de ce trebuie să ne „dovedim” identitatea față de sistemele pe care le accesăm? Și de ce este atât de greu să obținem parolele corecte?

Ce reprezintă o parolă bună?

Până relativ recent, o parolă bună putea fi un cuvânt sau o frază de doar șase până la opt caractere. Dar acum avem orientări privind lungimea minimă. Acest lucru se datorează „entropiei”.

Când vorbim despre parole, entropia este măsura predictibilității. Matematica din spatele acesteia nu este complexă, dar haideți să o examinăm cu o măsură și mai simplă: numărul de parole posibile, denumit uneori „spațiul parolelor”.

Dacă o parolă cu un singur caracter conține doar o literă minusculă, există doar 26 de parole posibile („a” până la „z”). Prin includerea literelor majuscule, creștem spațiul parolelor la 52 de parole potențiale.

Spațiul parolelor continuă să se extindă pe măsură ce se mărește lungimea și se adaugă alte tipuri de caractere.

Făcând o parolă mai lungă sau mai complexă, crește foarte mult „spațiul potențial al parolelor”. Mai mult spațiu de parolă înseamnă o parolă mai sigură.

Urmărind cifrele de mai sus, este ușor de înțeles de ce suntem încurajați să folosim parole lungi, cu litere majuscule și minuscule, numere și simboluri. Cu cât parola este mai complexă, cu atât mai multe încercări sunt necesare pentru a o ghici.

Cu toate acestea, problema cu dependența de complexitatea parolei este că computerele sunt foarte eficiente în repetarea sarcinilor – inclusiv în ghicirea parolelor.

Anul trecut, a fost stabilit un record pentru un calculator care a încercat să genereze toate parolele imaginabile. Acesta a atins o rată mai rapidă de 100.000.000.000.000 de ghicitori pe secundă.

Prin valorificarea acestei puteri de calcul, infractorii cibernetici pot intra în sisteme bombardându-le cu cât mai multe combinații de parole posibil, într-un proces numit atacuri prin forță brută.

Și cu ajutorul tehnologiei bazate pe cloud, ghicirea unei parole de opt caractere poate fi realizată în doar 12 minute și poate costa doar 25 USD.

De asemenea, deoarece parolele sunt aproape întotdeauna folosite pentru a da acces la date sensibile sau la sisteme importante, acest lucru îi motivează pe infractorii cibernetici să le caute în mod activ. De asemenea, aceasta generează o piață online profitabilă de vânzare a parolelor, dintre care unele sunt însoțite de adrese de e-mail și/sau nume de utilizator.

Puteți achiziționa aproape 600 de milioane de parole online pentru doar 14 dolari australieni!

Cum sunt stocate parolele pe site-urile web?

Pasapoartele de pe site-urile web sunt de obicei stocate într-un mod protejat, folosind un algoritm matematic numit hashing. O parolă hașurată este de nerecunoscut și nu poate fi transformată înapoi în parolă (un proces ireversibil).

Când încercați să vă conectați, parola pe care o introduceți este hașurată folosind același proces și comparată cu versiunea stocată pe site. Acest proces se repetă de fiecare dată când vă conectați.

De exemplu, parola „Pa$$w0rd” primește valoarea „02726d40f378e716981c4321d60ba3a325ed6a4c” atunci când este calculată cu ajutorul algoritmului de hashing SHA1. Încercați și dumneavoastră.

Când vă confruntați cu un fișier plin de parole hașurate, se poate folosi un atac prin forță brută, încercând fiecare combinație de caractere pentru o serie de lungimi de parolă. Acest lucru a devenit o practică atât de comună încât există site-uri web care listează parolele obișnuite alături de valoarea lor (calculată) hașurată. Puteți pur și simplu să căutați hash-ul pentru a dezvălui parola corespunzătoare.

Această captură de ecran a unui rezultat al unei căutări pe Google pentru valoarea parolei hașurate SHA „02726d40f378e716981c4321d60ba3a325ed6a4c” dezvăluie parola originală: „Pa$$w0rd”.

Furtul și vânzarea listelor de parole este acum atât de frecventă, încât un site dedicat – haveibeenpwned.com – este disponibil pentru a ajuta utilizatorii să verifice dacă conturile lor sunt „în sălbăticie”. Acesta a ajuns să includă peste 10 miliarde de detalii despre conturi.

Dacă adresa dvs. de e-mail este listată pe acest site, ar trebui neapărat să schimbați parola detectată, precum și pe orice alte site-uri pentru care folosiți aceleași credențiale.

Să fie mai multă complexitate soluția?

Ați crede că, având în vedere numărul atât de mare de încălcări ale parolelor care au loc zilnic, ne-am fi îmbunătățit practicile de selectare a parolelor. Din păcate, sondajul anual de anul trecut al SplashData privind parolele a arătat puține schimbări în cinci ani.

Sondajul anual SplashData privind parolele din 2019 a dezvăluit cele mai frecvente parole din 2015 până în 2019.

Pe măsură ce capacitățile de calcul cresc, soluția ar părea să fie creșterea complexității. Dar, ca oameni, nu suntem pricepuți la (și nici motivați să) reținem parole foarte complexe.

De asemenea, am depășit punctul în care folosim doar două sau trei sisteme care au nevoie de o parolă. Acum este obișnuit să accesăm numeroase site-uri, fiecare dintre ele necesitând o parolă (adesea de lungime și complexitate variabilă). Un studiu recent sugerează că există, în medie, 70-80 de parole pe persoană.

Veste bună este că există instrumente pentru a aborda aceste probleme. Majoritatea computerelor acceptă acum stocarea parolelor fie în sistemul de operare, fie în browserul web, de obicei cu opțiunea de a partaja informațiile stocate pe mai multe dispozitive.

Exemplele includ Apple’s iCloud Keychain și posibilitatea de a salva parolele în Internet Explorer, Chrome și Firefox (deși mai puțin fiabile).

Gestionarele de parole, cum ar fi KeePassXC, pot ajuta utilizatorii să genereze parole lungi și complexe și să le stocheze într-o locație sigură pentru atunci când este nevoie de ele.

În timp ce această locație trebuie totuși protejată (de obicei cu o „parolă principală” lungă), utilizarea unui manager de parole vă permite să aveți o parolă unică și complexă pentru fiecare site web pe care îl vizitați.

Acest lucru nu va împiedica furtul unei parole de pe un site web vulnerabil. Dar, dacă este furată, nu va trebui să vă faceți griji cu privire la schimbarea aceleiași parole pe toate celelalte site-uri ale dvs.

Există, desigur, vulnerabilități și în aceste soluții, dar poate că aceasta este o poveste pentru o altă zi.

.

Articles