wcześniej w tym roku na forum hakerów opublikowano około 6,5 miliona haczyków haseł do kont LinkedIn. Hasze były prostymi hashami SHA1 obliczonymi na podstawie haseł użytkownika, zapisanymi w infrastrukturze zaplecza LinkedIn.
hakerzy szybko zaczęli je łamać, a ponad połowa z nich pękła prawie w mgnieniu oka.
istnieją dwa główne powody, dla których Takie Szybkie pękanie było możliwe:
* wykorzystanie samej funkcji SHA1
* szybkie GPU
rzućmy okiem na oba.
funkcja SHA1 została zaprojektowana głównie w celu zastąpienia słabszej funkcji MD5. Został stworzony, aby był szybki, i rzeczywiście jest. Na karcie graficznej AMD / ATI 7970 „hashcat” (patrz https://hashcat.net/oclhashcat-plus/) oblicza nieco ponad dwa miliardy skrótów SHA1 na sekundę. Oznacza to, że wiele kombinacji można przetestować w bardzo krótkim czasie.
aby rozwiązać ten „problem”, istnieją nowoczesne i bezpieczniejsze algorytmy, takie jak funkcja sha512crypt używana w Ubuntu i najnowsze wersje systemu Linux Fedora Core. Zamiast 2 miliardów skrótów na sekundę, ta sama karta GPU pęka tylko nieco ponad 12 000 kombinacji sha512crypt na sekundę. Na przykład sprawdzenie miliarda kombinacji sha512crypt zajmuje około 24 godzin, ale mniej niż 1 sekundę dla SHA1.
ze względu na dzisiejsze szybkie GPU, jedną dobrą radą jeśli chodzi o bezpieczeństwo jest wybranie złożonego hasła, które:
* zawiera zarówno wielkie, jak i małe litery
* zawiera co najmniej jeden znak spacji
* zawiera liczby
* zawiera kilka symboli, takich jak !@ #
* nie jest oparty na znanym słowie
* ma co najmniej 12 znaków, ale im dłuższy, tym lepiej
Wiele osób, które znam, używa haseł o rozmiarze od 20 do 50 znaków. Jest to dobra rada, która sprawia, że jest mało prawdopodobne, że nawet w przypadku wycieku hasha hasła nikt go nie złamie.
wyobraź sobie moje zdziwienie dzisiaj, gdy próbowałem zalogować się na starsze konto Hotmail i dostałem następujące:
hasła do kont Microsoft mogą zawierać do 16 znaków.
jeśli używasz hasła, które ma więcej niż 16 znaków, wprowadź pierwsze 16.
moje poprzednie hasło ma około 30 znaków i teraz już nie działa. Jednak mogłem się zalogować, wpisując tylko pierwsze 16 znaków.
to ograniczenie jest dobrze znane (patrz znakomity post Grahama Cluleya na temat limitów haseł w różnych usługach) jednak to, co zwróciło moją uwagę, to to, że przycinając hasło do 16 znaków, zadziała.
aby wyciągnąć ten trik ze starszymi hasłami, Microsoft miał dwie możliwości:
* przechowuj pełne hasła tekstowe w swojej bazie danych; porównaj tylko pierwsze 16 znaków
* Oblicz hash tylko na pierwszych 16; zignoruj resztę
przechowywanie haseł tekstowych dla usług online jest zdecydowanie Nie – Nie w zakresie bezpieczeństwa. Inny wybór może oznaczać, że od momentu powstania Hotmail cicho używał tylko pierwszych 16 znaków hasła.
szczerze mówiąc, Nie wiem, która jest gorsza.
PS: mój nauczyciel powiedział, że zawsze myśl pozytywnie i staraj się zakończyć optymistyczną nutą. Więc idzie: „dzięki Google za Gmaila”.