Videó: The secret to effective nonviolent resistance | Jamila Raqib (November 2024)
Alig egy hét telt el anélkül, hogy hír lenne az adatok megsértéséről, amelyek milliókat vagy milliárdnyi jelszót tesznek ki. A legtöbb esetben a ténylegesen feltárt jelszó egy verziója, amelyet egy kivonatoló algoritmus futtat, nem pedig a jelszó. A Trustwave legújabb jelentése azt mutatja, hogy a kivágás nem segít, ha a felhasználók ostoba jelszavakat állítanak elő, és hogy a hossza fontosabb, mint a jelszavak összetettsége.
A hackerek feltörik a @ u8vRj és R3 * 4h, mielőtt feltörik a StatelyPlumpBuckMulligan vagy az ItWasTheBestOfTimes.
Kivágás
A kivágás gondolata az, hogy a biztonságos webhely soha nem tárolja a felhasználói jelszavakat. Inkább tárolja a jelszó futtatásának eredményét egy hash algoritmussal. A hashizálás egyfajta egyirányú titkosítás. Ugyanaz a bemenet mindig ugyanazt az eredményt hozza létre, de nem lehet visszatérni az eredménytől az eredeti jelszóhoz. Amikor bejelentkezik, a szerveroldali szoftver kivonja azt, amit megadott. Ha megegyezik a mentett kivonattal, akkor belépsz.
Ennek a megközelítésnek az a problémája, hogy a rossz fiúk is hozzáférhetnek hash algoritmusokhoz. Az algoritmuson keresztül megadhatják a karakterek minden egyes kombinációját egy adott jelszóhosszra, és összehasonlíthatják az eredményeket az ellopott hashed jelszavak listájával. Minden megegyező kivonathoz egy jelszót dekódoltak.
A 2013-ban és 2014 elején végrehajtott több ezer hálózati penetrációs teszt során a Trustwave kutatói több mint 600 000 hashed jelszót gyűjtöttek össze. A hash-krakkoló kód futtatásával az erőteljes GPU-kon néhány perc alatt feltörték a jelszavak több mint felét. A vizsgálat egy hónapig folytatódott, amikor a minták több mint 90% -át feltörték.
Jelszavak - Rosszul csinálod
A közönséges bölcsesség szerint a nagybetűket, kisbetűket, számjegyeket és írásjeleket tartalmazó jelszó nehezen feltörhető. Kiderül, hogy ez nem teljesen igaz. Igen, nehéz lenne, ha egy rosszindulatú szereplő kitalál egy olyan jelszót, mint az N ^ a és $ 1nG, de a Trustwave szerint a támadó kevesebb, mint négy nap alatt megtörheti ezt. Ezzel szemben egy olyan hosszú jelszó feltörése, mint a GoodLuckGuessingThisPassword, csaknem 18 évig tart.
Sok IT-osztály legalább nyolc karakter hosszú jelszavakat igényel, amelyek nagybetűket, kisbetűket és számjegyeket tartalmaznak. A jelentés rámutat arra, hogy sajnos a "Password1" megfelel ezeknek a követelményeknek. Nem véletlen, hogy a Password1 volt a leggyakoribb egyetlen jelszó a vizsgált gyűjteményben.
A TrustWave kutatói azt is megállapították, hogy a felhasználók pontosan azt fogják megtenni, amire szükségük van, nem. Jelszógyűjteményük hosszúság szerinti lebontása azt tapasztalta, hogy majdnem a fele pontosan nyolc karakter volt.
Hosszúvá tegyék őket
Korábban már mondtuk, de ez megismétlődik. Minél hosszabb a jelszava (vagy jelszava), annál nehezebb a hackerek számára feltörni. Írjon be egy kedvenc idézetet vagy mondatot, hagyva el szóközöket, és rendes jelmondatot kap.
Igen, vannak más típusú feltörési támadások is. A karakterek minden egyes kombinációjának kivonása helyett a szótár-támadás az ismert szavak kombinációit rejtjelez, jelentősen szűkítve a keresés körét. De elég hosszú jelszóval a brutális erőszakos repedések még évszázadokig is eltarthatnak.
A teljes jelentés különféle módon szeletel és kockazza az adatokat. Például a feltört jelszavak több mint 100 000-ből hat kisbetű és két számjegy állt, mint például a majom12. Ha kezeli a jelszavas házirendeket, vagy csak azt szeretné, ha jobb jelszavakat állítana be magának, akkor érdemes elolvasni.
