Kaip įsilaužėliai gali nulaužti slaptažodį per valandą

Beveik šešis iš dešimties slaptažodžių galima nulaužti greičiau nei per valandą naudojant modernią vaizdo plokštę arba debesies paslaugas. Tokio įsilaužimo kaina yra keli doleriai ir šiek tiek laisvo laiko. Kodėl taip yra ir ką su tuo daryti – mūsų tyrime.

Gegužę minima Pasaulinė slaptažodžių diena, Atsižvelgdami į mūsų ir, tikimės, jūsų susidomėjimą slaptažodžių tema, analizavome ne „sferinius slaptažodžius vakuume“, o tikrus slaptažodžius iš „darknet“ duomenų bazių. Paaiškėjo, kad 59% tirtų slaptažodžių pavyko nulaužti greičiau nei per valandą, o tereikia modernios vaizdo plokštės ir šiek tiek žinių..

Šiandien kalbėsime apie tai, kaip įsilaužėliai nulaužia slaptažodžius ir ką su tuo daryti (mažas spoileris: naudokite patikima apsauga Ir automatiškai patikrinkite, ar jūsų slaptažodžiai nėra nutekėję).

Kaip paprastai nulaužiami slaptažodžiai

Pradėkime nuo svarbios pastabos: frazė „nulaužti slaptažodį“ reiškia įsilaužimą į jį maišos — unikali simbolių seka. Faktas yra tas, kad vartotojų slaptažodžiai beveik visada saugomi įmonės serveriuose vienu iš trijų būdų:.

• Atviras. Tai yra paprasčiausias ir suprantamiausias būdas: jei vartotojas turi slaptažodį, pavyzdžiui, qwerty12345, tada jis saugomas įmonės serveryje: qwerty12345. Duomenų nutekėjimo atveju užpuolikui nereikės daryti nieko sudėtingesnio, nei tiesiog įvesti prisijungimo vardą ir slaptažodį, kad patvirtintų. Tai, žinoma, jei nėra dviejų veiksnių autentifikavimo, nors net ir su juo sukčiai kartais gali perimti vienkartinius slaptažodžius.
• Uždaryta. Šis metodas naudoja maišos algoritmus: M.D.5, SHA-1 ir kiti. Šie algoritmai sukuria unikalią maišos reikšmę kiekvienai slaptafrazei – fiksuoto ilgio simbolių eilutę, kuri saugoma serveryje. Kiekvieną kartą vartotojui įvedus slaptažodį, įvesta simbolių seka konvertuojama į maišą, kuri lyginama su saugoma serveryje: jei sutampa, vadinasi, slaptažodis buvo įvestas teisingai. Pateiksime pavyzdį: jei iš tikrųjų jūsų slaptažodis yra qwerty12345, tada „SHA-1 kalba“ jis bus parašytas taip – 4e17a448e043206801b95de317e07c839770c8b8. Kai užpuolikas gaus šią maišą, jis turės ją iššifruoti (tai yra „slaptažodžio įlaužimas“), pavyzdžiui, naudojant , ir paverskite jį atgal į qwerty12345. Sužinojęs slaptažodį įsilaužėlis galės juo autorizuoti ne tik paslaugą, iš kurios nutekėjo maiša, bet ir bet kurią kitą, kurioje maiša naudojama. .
• Uždaryta druska. Taikant šį metodą, kiekvienas slaptažodis pridedamas su druskos — atsitiktinė duomenų seka, statinė arba dinamiškai generuojama. Seka jau sumaišyta «slaptažodis+druska», kuris pakeičia gautą maišą, o tai reiškia, kad esamos vaivorykštės lentelės įsilaužėliams nebepadės. Šis slaptažodžių saugojimo būdas labai apsunkina įsilaužimą..

Savo tyrimui surinkome 193 milijonų nutekėjusių slaptažodžių duomenų bazę aiškiu tekstu. Iš kur mes jį gavome?? Vietos, kurias reikia žinoti. Mes juos radome „darknete“ – ten jie dažnai yra laisvai prieinami. Tokias duomenų bazes naudojame norėdami patikrinti vartotojų slaptažodžius, ar nėra galimų nutekėjimų, tačiau nežinome ir nesaugome jūsų slaptažodžių: galite sužinoti daugiau, kaip tai veikia iš vidaus slaptažodžių saugojimas Kaspersky slaptažodžių tvarkyklė ir kaip, nežinant savo slaptažodžių, lyginame jas su nutekėjusiomis.

Kiek kainuoja slaptažodžio nulaužimas?

Šiuolaikiniai GPU geriausiai atlieka slaptažodžio stiprumo analizę. Pavyzdžiui, RTX 4090 vaizdo plokštės atspėjimo greitis naudojant slaptažodžio atkūrimo įrankį yra hashcat siekia 164 gigahašas per sekundę nulaužant „sūdytas maišas“, sukurtas naudojant algoritmą M.D.5.

Tarkime, kad slaptažodis, į kurį buvo įsilaužta, susideda iš 8 simbolių, kiekvienam iš kurių gali būti naudojamas vienas iš 36 skirtingų simbolių (lotyniškos tos pačios raidės ir skaičiai). Galimų unikalių kombinacijų skaičius šiuo atveju yra 2,8 trilijono (tai galima apskaičiuoti 36 pakėlus iki aštuntos laipsnio). Naudojant brute force metodą, modernus procesorius su skaičiavimo galia 6,7 milijardas maišos per sekundę nulaužia tokį slaptažodį per 7 minutes. Tačiau aukščiau minėtas RTX 4090 su užduotimi susidoros vos per 17 sekundžių.

Ar verta ši vaizdo plokštė? šiek tiek mažiau nei 2000 USD, bet net jei užpuolikas neturi galimybės jo nusipirkti, jis gali beveik nesunkiai išsinuomoti skaičiavimo galią tik už kelis dolerius per valandą. O kas, jei jam sugalvotų iš karto išsinuomoti keliolika RTX 4090? Pakankamai galios be jokių problemų suvaldyti milžiniškus duomenų bazės nutekėjimus.

59% slaptažodžius galima nulaužti greičiau nei per valandą

Tyrimo metu mes išbandėme slaptažodžių stiprumą naudodami brutalią jėgą ir išmaniuosius krekingo algoritmus. Ir jei grubi jėga ieško visų įmanomų simbolių kombinacijų, kol randa atitikmenį, tada išmanieji algoritmai yra mokomi slaptažodžių duomenų bazėje ir gali apskaičiuoti įvairių simbolių kombinacijų dažnį, pradedant populiariausiais variantais ir baigiant. su retais. Daugiau informacijos apie naudojamus algoritmus rasite pilna mūsų tyrimo versija „Securelist“..

Rezultatai nuvilia: 45 % iš 193 milijonų ištirtų tikrų slaptažodžių (ty 87 milijonus!) išmanieji algoritmai gali nulaužti greičiau nei per minutę, 59 % – per valandą, o 67 % – greičiau nei per mėnesį. tik 23% slaptažodžių gali būti laikomi patvariais – įsilaužimas į juos užtruks ne vienerius metus.

Svarbu pažymėti, kad pasirinkimas Visi slaptažodžiai iš duomenų bazės užima šiek tiek daugiau laiko nei atspėti vienas Slaptažodis. Galų gale, kiekvienos iteracijos metu, apskaičiavęs maišą kitam simbolių deriniui, užpuolikas patikrina, ar duomenų bazėje yra tas pats. Jei taip, tada atitinkamas slaptažodis pažymimas kaip „nulaužtas“, po kurio algoritmas ir toliau atspėja kitus slaptažodžius.

Kodėl išmanieji įsilaužimo algoritmai yra tokie veiksmingi

Žmonės retai naudoja atsitiktinius slaptažodžius ir generuoja juos savo galvose daug blogiau nei mašinos: naudojame tikras frazes, asmenvardžius ir sekas, kurias išspręsti egzistuoja protingi įsilaužimo algoritmai..

Be to, net jei paprašysite kelių žmonių pasirinkti bet kurį skaičių nuo 1 iki 100, dauguma žmonių įvardins… tuos pačius skaičius! Tyrėjai iš „YouTube“ kanalo Veritasium apklaustas daugiau nei 200 tūkst. žmonių ir sužinojo, kad populiarumo viršūnėje yra 7, 37, 42, 69, 73 ir 77.

Veritasium apklausos rezultatai. Šaltinis

Ir net jei bandysite sugalvoti slaptažodį naudodami atsitiktinius simbolius, nesąmoningai dažniausiai pasirinksite raides klaviatūros viduryje. Daugumoje mūsų tirtų slaptažodžių (57 %) yra žodyno žodis, kuris žymiai sumažina jų stiprumą. Pusei (51 proc.) šių slaptažodžių nulaužti prireiks mažiau nei minutės, 67 proc. galima atspėti greičiau nei per valandą, o tik 12 proc. iš jų yra tvirti ir atspėti prireiks daugiau nei metų. Be to, laimei, tik keli slaptažodžiai susideda tik iš žodyno žodžio – beveik visus juos galima nulaužti per minutę. Norėdami gauti daugiau informacijos apie tai, su kokiomis slaptažodžių schemomis susidūrėme, žr Securelist leidiniai.

Išmanieji algoritmai gali lengvai išanalizuoti daugumą slaptažodžių, kuriuose yra žodyno sekos. Be to, jie netgi atsižvelgia į simbolių pakeitimus, todėl parašius „pa$$word“ vietoj „password“ arba „@dmin“ vietoj „admin“, slaptažodis nebus stipresnis. Naudoti populiarius žodžius ir skaičių sekas taip pat yra bloga idėja. 4% mūsų apdorotų slaptažodžių buvo rasta įvairių formų.:

• 12345
• 123456
• meilė
• 12345678
• 123456789
• admin
• komanda
• qwer
• 54321
• Slaptažodis

Rekomendacijos

• Slaptažodžio tikrintuvasslaptažodžių tvarkyklė
• Naudokite Kaspersky Premium, nuolat stebėti fone, ar nenutekėjo paskyros, susietos su jūsų ar jūsų artimųjų telefonų numeriais ar el. pašto adresais.
• Įjungti dviejų veiksnių autentifikavimas (2FA), kur tik įmanoma. Beje, taip pat galite išsaugoti 2FA žetonus ir generuoti vienkartinius kodus Kaspersky slaptažodžių tvarkyklė.