tidligere i år blev omkring 6,5 millioner LinkedIn-kontoadgangskode hashes offentliggjort på et hackers forum. Hashes var enkle SHA1-fordøjelser beregnet ud fra brugerens adgangskoder, som gemt i LinkedIn-backend-infrastrukturen.
det tog ikke lang tid for hackere at begynde at knække dem, med over halvdelen af dem revnet på næsten ingen tid.
der er to hovedårsager til, at sådan hurtig krakning var mulig:
* brugen af selve SHA1-funktionen
* hurtige GPU ‘ er
lad os se på begge.
SHA1-funktionen blev hovedsageligt designet til at erstatte den svagere funktion MD5. Det blev skabt for at være hurtigt, og det er det faktisk. På et AMD / ATI 7970 grafikkort beregner” hashcat ” (se https://hashcat.net/oclhashcat-plus/) lidt over to milliarder SHA1 hashes per sekund. Det betyder, at mange kombinationer kan testes på meget kort tid.
for at overvinde dette “problem” findes moderne og mere sikre algoritmer, som f.eks. I stedet for 2 milliarder hashes per sekund revner det samme GPU-kort kun lidt over 12.000 sha512crypt-kombinationer pr. For eksempel tager det cirka 24 timer at kontrollere en milliard sha512crypt-kombinationer; men mindre end 1 sekund for SHA1.
på grund af dagens hurtige GPU ‘ er er et godt råd, når det kommer til sikkerhed, at vælge en kompleks adgangskode, som:
* indeholder både store og små bogstaver
* indeholder mindst et mellemrum
* indeholder tal
* indeholder flere symboler som f. eks !@#
* det er ikke baseret på et kendt ord
* det er mindst 12 tegn i størrelse, men jo længere jo bedre
mange af de mennesker, jeg kender, bruger adgangssætninger, der er mellem 20 og 50 tegn i størrelse. Dette er et godt råd, der gør det usandsynligt, at selv i tilfælde af at din adgangskode hash er lækket, ingen vil knække det.
Forestil dig min overraskelse i dag, da jeg prøvede at logge ind på en ældre Hotmail-konto og fik følgende:
Microsoft-kontoadgangskoder kan indeholde op til 16 tegn.
hvis du har brugt en adgangskode med mere end 16 tegn, skal du indtaste de første 16.
min tidligere adgangskode har været omkring 30 tegn i størrelse, og nu virker det ikke længere. Imidlertid, jeg kunne logge ind ved at skrive bare den første 16 tegn.
denne begrænsning er velkendt (se Graham Cluleys fremragende indlæg om adgangskodegrænserne for forskellige tjenester), men hvad der fangede min opmærksomhed var, at ved at skære adgangskoden til 16 tegn, ville det fungere.
for at trække dette trick med ældre adgangskoder havde Microsoft to valg:
* Gem adgangskoder i fuld almindelig tekst i deres db; sammenlign kun de første 16 tegn
* Beregn hash kun på de første 16 tegn; Ignorer resten
lagring af adgangskoder til almindelig tekst til onlinetjenester er et klart nej-nej i sikkerhed. Det andet valg kan betyde, at Hotmail siden starten kun brugte de første 16 tegn i adgangskoden.
for at være ærlig er jeg ikke sikker på, hvilken der er værre.
PS: min lærer sagde altid tænke positivt og forsøge at ende med en optimistisk note. Så her går:”Tak Google for GMail”.