By: adminPosted on

aiemmin tänä vuonna hakkereiden foorumilla julkaistiin noin 6,5 miljoonaa LinkedIn-tilin salasanasi. Hashit olivat yksinkertaisia SHA1-digestejä, jotka on laskettu käyttäjän salasanoista, jotka on tallennettu LinkedIn-taustajärjestelmään.

ei kestänyt kauaa, kun hakkerit alkoivat murtaa niitä, yli puolet murtui lähes hetkessä.

on kaksi pääsyytä, miksi näin nopea murtuminen oli mahdollista:

* itse SHA1-funktion käyttö
* nopeat GPU: t

Katsotaanpa molempia.

SHA1-funktio suunniteltiin lähinnä korvaamaan heikompi funktio MD5. Se luotiin nopeaksi, ja sitä se todellakin on. AMD / ATI 7970-näytönohjaimessa ”hashcat” (katso https://hashcat.net/oclhashcat-plus/) laskee hieman yli kaksi miljardia SHA1-hashia sekunnissa. Tämä tarkoittaa, että paljon yhdistelmiä voidaan testata hyvin lyhyessä ajassa.

tämän ”ongelman” voittamiseksi on olemassa moderneja ja turvallisempia algoritmeja, kuten Ubuntussa käytetty sha512crypt-toiminto ja Fedora Core Linuxin uusimmat versiot. 2 miljardin hashin sijaan sama GPU-kortti halkeaa vain hieman yli 12 000 sha512crypt-yhdistelmää sekunnissa. Esimerkiksi miljardin sha512crypt-yhdistelmän tarkistaminen kestää noin 24 tuntia, mutta SHA1: llä alle 1 sekunti.

nykypäivän nopeiden GPU: iden vuoksi yksi hyvä tietoturvaneuvo on valita monimutkainen salasana, että:

* sisältää sekä isot että pienet merkit
* sisältää vähintään yhden välilyönnin
* sisältää numerot
* sisältää useita symboleja kuten !@ #
* se ei perustu tunnettuun sanaan
* sen koko on vähintään 12 merkkiä, mutta mitä pidempi, sen parempi

monet tuntemani ihmiset käyttävät 20-50 merkin kokoisia salasanasanoja. Tämä on hyvä neuvo, jonka vuoksi on epätodennäköistä, että edes siinä tapauksessa, että salasanasi hash on vuotanut, kukaan ei murra sitä.

Imagine my surprise today when I tried logging into an older Hotmail account and got the following:

Microsoft-tilin salasanat voivat sisältää enintään 16 merkkiä. Jos olet käyttänyt salasanaa, jossa on enemmän kuin 16 merkkiä, kirjoita ensimmäinen 16.

Microsoft-tilin salasanat voivat sisältää enintään 16 merkkiä.
jos olet käyttänyt salasanaa, jossa on enemmän kuin 16 merkkiä, anna ensimmäinen 16.

aikaisempi salasanani on ollut noin 30 merkin kokoinen ja nyt se ei enää toimi. Kuitenkin, voisin kirjautua kirjoittamalla vain ensimmäiset 16 merkkiä.

tämä rajoitus on hyvin tunnettu (KS.Graham Cluleyn erinomainen postaus eri palveluiden salasanarajoista) kuitenkin kiinnitti huomioni siihen, että leikkaamalla salasana 16 merkiksi, se toimisi.

tämän tempun tekemiseksi vanhemmilla salasanoilla Microsoftilla oli kaksi vaihtoehtoa:

* säilytä täydelliset selkotekstiset salasanat db: ssään; vertaa vain 16 ensimmäistä merkkiä
* laske hash vain ensimmäisillä 16; jätä huomioimatta loput

tekstisalasanojen tallentaminen verkkopalveluihin on selvä no-no tietoturvassa. Toinen valinta voi tarkoittaa sitä, että Hotmail käytti perustamisestaan lähtien kaikessa hiljaisuudessa vain salasanan 16 ensimmäistä merkkiä.

ollakseni rehellinen, en ole varma kumpi on pahempi.

PS: opettajani sanoi, että ajattele aina positiivisesti ja yritä lopettaa optimistiseen sävyyn. Joten tässä menee: ”kiitos Google GMail”.

Vastaa

Sähköpostiosoitettasi ei julkaista.