az év elején körülbelül 6,5 millió LinkedIn-fiók jelszó-kivonatot tettek közzé egy hackerek fórumán. A kivonatok egyszerű SHA1 emésztések voltak, amelyeket a felhasználó jelszavaiból számítottak ki, a LinkedIn háttér-infrastruktúrájában tárolva.
nem tartott sokáig, amíg a hackerek elkezdték feltörni őket, több mint felük szinte pillanatok alatt feltörte őket.
két fő oka van annak, hogy ilyen gyors repedés lehetséges:
* maga az SHA1 funkció használata
* gyors GPU-k
vessünk egy pillantást mindkettőre.
az SHA1 funkciót elsősorban a gyengébb MD5 funkció helyettesítésére tervezték. Azért jött létre, hogy gyors legyen, és valóban az is. AMD / ATI 7970 grafikus kártyán a “hashcat” (lásd https://hashcat.net/oclhashcat-plus/) másodpercenként valamivel több mint kétmilliárd SHA1 hash-t számít ki. Ez azt jelenti, hogy nagyon sok kombináció tesztelhető nagyon rövid idő alatt.
ennek a “problémának” a leküzdésére modern és biztonságosabb algoritmusok léteznek, mint például az Ubuntuban és A Fedora Core Linux legújabb verzióiban használt sha512crypt funkció. Másodpercenként 2 milliárd hash helyett ugyanaz a GPU-kártya másodpercenként csak egy kicsit több mint 12 000 sha512crypt kombinációt repeszt meg. Például egy milliárd sha512crypt kombináció ellenőrzése körülbelül 24 órát vesz igénybe; de kevesebb, mint 1 másodperc az SHA1 esetében.
a mai gyors GPU-k miatt az egyik jó tanács a biztonság szempontjából egy összetett jelszó kiválasztása, amely:
* tartalmazza mind a nagybetűs, mind a kisbetűs karaktereket
* legalább egy szóköz karaktert tartalmaz
* számokat tartalmaz
* több szimbólumot tartalmaz, például !@#
* nem egy ismert szóra épül
* legalább 12 karakter méretű, de minél hosszabb, annál jobb
az általam ismert emberek közül sokan 20-50 karakter méretű jelszavakat használnak. Ez egy jó tanács, amely valószínűtlenné teszi, hogy még abban az esetben is, ha a jelszó kivonata kiszivárog, senki sem fogja feltörni.
képzelje el a meglepetésemet, amikor megpróbáltam bejelentkezni egy régebbi Hotmail-fiókba, és a következőket kaptam:
a Microsoft-fiók jelszavai legfeljebb 16 karaktert tartalmazhatnak.
ha 16 karakternél több jelszót használt, írja be az első 16-ot.
az előző jelszavam körülbelül 30 karakter méretű volt, és most már nem működik. Azonban csak az első 16 karakter beírásával tudtam bejelentkezni.
ez a korlátozás jól ismert (lásd Graham Cluley kiváló bejegyzését a különféle szolgáltatások jelszókorlátjairól), ami azonban felhívta a figyelmemet, hogy a jelszó 16 karakterre vágásával működni fog.
ahhoz, hogy ezt a trükköt régebbi jelszavakkal húzza, a Microsoftnak két lehetősége volt:
* tárolja a teljes egyszerű szöveges jelszavakat a db-ben; hasonlítsa össze csak az első 16 karaktert
* számítsa ki a hash-ot csak az első 16 karakternél; figyelmen kívül hagyja a többit
az egyszerű szöveges jelszavak tárolása az online szolgáltatások számára határozott nem-nem a biztonság szempontjából. A másik választás azt jelentheti, hogy megalakulása óta a Hotmail csendben csak a jelszó első 16 karakterét használta.
hogy őszinte legyek, nem tudom, melyik a rosszabb.
PS: a tanárom azt mondta, mindig pozitívan gondolkodj, és próbálj optimista megjegyzéssel zárni. Tehát itt van: “Köszönöm a Google-t a Gmailért”.