Tidligere I år ble omtrent 6,5 millioner LinkedIn-kontopassord hashes publisert på et hackerforum. Hashene var enkle SHA1 fordøyer beregnet fra brukerens passord, som lagret i LinkedIn backend-infrastrukturen.
det tok ikke lang tid for hackere å begynne å knekke dem, med over halvparten sprakk på nesten ingen tid.
det er to hovedgrunner til at en slik rask sprengning var mulig:
* bruken av SHA1-funksjonen selv
* raske Gpuer
La oss ta en titt på begge.
SHA1-funksjonen ble hovedsakelig designet for å erstatte den svakere FUNKSJONEN MD5. Det ble skapt for å være rask, og faktisk er det. PÅ ET AMD / ati 7970 grafikkort beregner «hashcat» (se https://hashcat.net/oclhashcat-plus/) litt over to milliarder SHA1 hashes per sekund. Dette betyr at mange kombinasjoner kan testes på svært kort tid.
for å overvinne dette «problemet» eksisterer moderne og sikrere algoritmer, for eksempel sha512crypt-funksjonen som brukes I Ubuntu og nyere versjoner Av Fedora Core Linux. I stedet for 2 milliarder hashes per sekund, sprekker DET samme GPU-kortet bare litt over 12,000 sha512crypt-kombinasjoner per sekund. For eksempel, sjekke en milliard sha512crypt kombinasjoner tar ca 24 timer; men mindre enn 1 sekund FOR SHA1.
på grunn av dagens raske Gpuer er et godt råd når det gjelder sikkerhet å velge et komplekst passord, det:
* inkluderer både store og små tegn
* inkluderer minst ett mellomrom
* inkluderer tall
* inkluderer flere symboler som !@ #
* det er ikke basert på et kjent ord
* det er minst 12 tegn i størrelse, men jo lengre jo bedre
Mange av de jeg kjenner bruker passord som er mellom 20 og 50 tegn i størrelse. Dette er et godt råd som gjør det usannsynlig at selv om passordet ditt er lekket, vil ingen knekke det.
Tenk deg min overraskelse i dag da jeg prøvde å logge inn på en eldre Hotmail-konto og fikk følgende:
microsoft-kontopassord kan inneholde opptil 16 tegn.
hvis du har brukt et passord som har mer enn 16 tegn, skriver du inn de første 16.
mitt forrige passord har vært rundt 30 tegn i størrelse, og nå virker Det ikke lenger. Men jeg kunne logge inn ved å skrive bare de første 16 tegnene.
denne begrensningen er velkjent (Se Graham Cluleys utmerkede innlegg på passordgrensene for ulike tjenester), men det som fanget min oppmerksomhet var at ved å kutte passordet til 16 tegn, ville det fungere.
For å trekke dette trikset med eldre passord, Microsoft hadde to valg:
* lagre full klartekst passord i deres db; sammenligne de første 16 tegn bare
* beregn hash bare på de første 16; ignorer resten
Lagring av klartekstpassord for elektroniske tjenester er et klart nei – nei i sikkerhet. Det andre valget kan bety At Hotmail siden starten bare brukte de første 16 tegnene i passordet.
for å være ærlig er jeg ikke sikker på hvilken som er verre.
PS: læreren min sa alltid tenke positivt og prøve å avslutte med en optimistisk notat. Så her går: «Takk Google For GMail».