la începutul acestui an, aproximativ 6,5 milioane de hash-uri ale parolei contului LinkedIn au fost publicate pe un forum al hackerilor. Hash-urile au fost simple digerări SHA1 calculate din parolele utilizatorului, așa cum sunt stocate în infrastructura backend LinkedIn.

nu a durat mult până când hackerii au început să le spargă, peste jumătate dintre ei au crăpat aproape în cel mai scurt timp.

există două motive principale pentru care a fost posibilă o astfel de fisurare rapidă:

* utilizarea funcției SHA1 în sine
* GPU-uri rapide

să aruncăm o privire la ambele.

funcția SHA1 a fost concepută în principal pentru a înlocui funcția mai slabă MD5. A fost creat pentru a fi rapid, și într-adevăr este. Pe o placă grafică AMD / ATI 7970,” hashcat ” (vezi https://hashcat.net/oclhashcat-plus/) calculează puțin peste două miliarde de hashuri SHA1 pe secundă. Aceasta înseamnă că o mulțime de combinații pot fi testate într-un timp foarte scurt.

pentru a depăși această „problemă”, există algoritmi moderni și mai siguri, cum ar fi funcția sha512crypt utilizată în Ubuntu și versiunile recente ale Fedora Core Linux. În loc de 2 miliarde de hash-uri pe secundă, aceeași placă GPU fisurează doar puțin peste 12.000 de combinații sha512crypt pe secundă. De exemplu, verificarea unui miliard de combinații sha512crypt durează aproximativ 24 de ore; dar mai puțin de 1 secundă pentru SHA1.

datorită GPU-urilor rapide de astăzi, un sfat bun atunci când vine vorba de securitate este să alegeți o parolă complexă, care:

* include atât caractere mari și mici
* include cel puțin un caracter spațiu
* include numere
* include mai multe simboluri, cum ar fi !@ #
* nu se bazează pe un cuvânt cunoscut
*are cel puțin 12 caractere, dar cu cât este mai lung, cu atât mai bine

mulți dintre oamenii pe care îi cunosc folosesc fraze de acces care au între 20 și 50 de caractere. Acesta este un sfat bun, ceea ce face puțin probabil ca, chiar și în cazul în care hash-ul parolei dvs. să fie scurs, nimeni nu îl va sparge.

Imaginați-vă surpriza mea astăzi când am încercat să mă conectez la un cont Hotmail mai vechi și am primit următoarele:

parolele contului Microsoft pot conține până la 16 caractere. Dacă ați folosit o parolă care are mai mult de 16 caractere, introduceți primele 16.

parolele contului Microsoft pot conține până la 16 caractere.
dacă ați folosit o parolă care are mai mult de 16 caractere, introduceți primele 16.

parola mea anterioară a fost în jur de 30 de caractere în dimensiune și acum, nu mai funcționează. Cu toate acestea, m-aș putea autentifica tastând doar primele 16 caractere.

această limitare este bine cunoscută (a se vedea postarea excelentă a lui Graham Cluley cu privire la limitele parolei diferitelor servicii) cu toate acestea, ceea ce mi-a atras atenția a fost că prin tăierea parolei la 16 caractere, ar funcționa.

pentru a trage acest truc cu parole mai vechi, Microsoft a avut două opțiuni:

* stoca parole plaintext complete în db lor; compara primele 16 caractere numai
* calculați hash numai pe primele 16; ignorați restul

stocarea parolelor plaintext pentru serviciile online este o certitudine nu-nu în securitate. Cealaltă alegere ar putea însemna că, de la începuturile sale, Hotmail folosea în tăcere doar primele 16 caractere ale parolei.

ca să fiu sincer, nu sunt sigur care este mai rău.

PS: profesorul meu a spus că întotdeauna gândește pozitiv și încearcă să închei cu o notă optimistă. Deci, aici merge: „mulțumesc Google pentru GMail”.

Lasă un răspuns

Adresa ta de email nu va fi publicată.