Hvordan brute-force cracking kan avsløre passordet ditt

[ware_item id=33][/ware_item]

En hammer prøver å brute kraft å åpne en hengelås.


I kryptografi forsøker et brute force-angrep å tyde kryptert innhold ved å gjette krypteringsnøkkelen. Dette angrepet er gjennomførbart når krypteringsnøkkelen er kort, eller hvis en angriper har tilstrekkelig informasjon til å prøve å gjette nøkkelen.

Når det gjelder nettformer, har ikke angripere mye tid til å gjette på en nøkkel. Google eller Facebook vil bare la noen prøve å logge seg på kontoen din så mange ganger før de "låser den ned."

Når hackere skaffer den interne databasen til et selskap, har de imidlertid all tid i verden til å gjette passordet ditt - selv om det er kryptert.

Nettsteder bør salt og hasj passord for å beskytte brukere

Når nettsteder lagrer passordene dine, skal de (men ikke alltid) salt og hasj brukerpassordene, slik at noen som er i besittelse av brukerdatabasen ikke kan bruke det.

Hash-funksjoner, for eksempel SHA-256, er enveis kryptografiske funksjoner. Alle stykke data, tekst, bilde eller nummer kan "hashes", og uansett hvor lang inndata du har, vil resultatet alltid være 256 bits i lengde. Når det er kodet i heksadesimal (som nedenfor), resulterer dette i en streng med 64 tegn.

Saltede hasjer gir ekstra beskyttelseEksempler på “saltet” hasj, hashes igjen.

Hvordan angripere sprekker passordet ditt

For å gjøre ting vanskelig for potensielle hackere, vil nettsteder endre passord med et "salt", som er et tilfeldig stykke data (se hvordan salting og hashing fungerer).

Å beregne en hasj fra tekst, et bilde eller en fil er trivielt og vil ikke ta en datamaskin noen betydelig mengde tid eller ressurser. Men hvis alt du vet er hasj, er den eneste måten å finne ut den opprinnelige verdien av et brute-force-angrep. Dette er grunnen til at en hashingfunksjon også kalles enveiskryptering. Det er lett å gå fra tekst til hasj, men veldig vanskelig å gå den andre veien.

Passordsprekker som er i besittelse av en stjålet brukerdatabase kan se listen over brukernavn, saltverdien for hver bruker og hasj.

Med disse detaljene kan de forsøke å gjette passordene til hver bruker, salt og hasj dem, og sjekke resultatet mot hasjen som er lagret i databasen. Hvis hasj samsvarer, vet de at de har funnet passordet.

En angriper må legge inn brukernavnet og passordet nøyaktig, ettersom endring av hasj til og med bare en liten bit (som vist over) vil resultere i en helt annen hasj.

Hvor mange passordkombinasjoner er det?

Forutsatt at et passord bare består av små bokstaver, for hvert tegn er det 26 muligheter. Derfor kan du forvente å kunne gjette et passord med ett tegn i løpet av 13 forsøk.

Et passord med to tegn har 26 × 26 alternativer og vil ta (26 × 26) / 2 forsøk på å tyde.

Formelen c = (m ^ n) / 2 beskriver forholdet mellom mulighetene for hver karakter (M), passordets lengde (N) og det forventede antallet gjetninger (C).

Forholdet mellom passordlengden og antallet gjetninger for å sprekke det

En graf som viser hvor mange gjetninger det tar å knekke passord av ulik lengde.

  • Små passord (m = 26)
  • Store og små bokstaver (m = 52)
  • Store og små og spesialtegn (m = 67)

Selv om både kompleksitet og lengde bidrar til styrken til et passord, er det langt mer verdifullt å legge til et tegn enn å øke kompleksiteten.

Hvis du legger til et ekstra tegn til et passord med fire tegn, kun med små bokstaver, blir det 26 ganger vanskeligere å sprekke, mens det å doble mulige tegn til 52 (dvs. legge til store bokstaver) bare gjør det 16 ganger vanskeligere å sprekke.

Den logaritmiske skalaen gjør forholdet mellom passordlengde og nødvendige gjetninger for å sprekke tydeligere

En graf for å vise omfanget av passordlengde mot nødvendige forsøk på å gjette det.

  • Små passord (m = 26)
  • Store og små bokstaver (m = 52)
  • Store og små og spesialtegn (m = 67)

Hvor lang tid tar det å knekke et passord?

Hvor raskt en angriper kan knekke passordet ditt, avhenger av hvor raskt angriperens datamaskinvare er.

En vanlig datamaskin vil sannsynligvis gjøre rundt 100 000 gjetninger i sekundet. En dedikert GPU kan være 100 ganger raskere enn dette, og det er mulig å opprette en gårdsbrudd med passord med hundrevis av GPUer.

Hvis vi antar at angriperen har en vanlig datamaskin, som kan 100 000 gjetninger i sekundet, vil det ta mindre enn ett minutt å passere med små bokstaver med mindre enn seks tegn.

Men løsningstiden øker eksponentielt, og et passord på åtte tegn vil ta 12 dager å sprekke. Et passord på 12 tegn vil ta over 12 000 år.

Hvorvidt et passord på 12 tegn er nok, avhenger av verdien av hva det beskytter og omfanget av angrepet. Hvis angripere bare er etter ett mål, kan et passord på 12 tegn være innenfor rekkevidde.

Det er da viktig å beskytte verdifulle data (som personlig informasjon eller Bitcoin private nøkler) med langt lengre passord. Når du krypterer Bitcoin-lommeboken din, for eksempel, kan det være en god idé å ha en nøkkel på over 32 tegn.

Jo mer informasjon en angriper har, jo raskere vil en sprekk skje

Beregningene ovenfor antar at angriperen ikke vet noe om passordet, annet enn om det inkluderer store eller små bokstaver.

I virkeligheten kan angriperen ha noen gjetninger. Fra tidligere dekrypterte passordlister vet vi hva de vanligste passordene er. Hvis det ikke er noe spesifikt mål, kan en angriper kontrollere vanlige passord med en e-postliste relativt raskt.

Folk har også en tendens til å velge passord som bare har tall på slutten (for eksempel hello111), og inkluderer navnet på tjenesten eller URL et sted. Et passord som brukes for Gmail som inneholder ordene google eller gmail og har fire sifre på slutten (for eksempel gmailpanther1234), er lett å sprekke, selv om det er langt.

Folk pleier også å bruke navn på kjæledyr eller barn som passord, noen ganger i kombinasjon med fødselsdatoer eller år, noe som gjør passordet ditt lettere å gjette enn folk kanskje tror.

Bruk sterke passord med passordbehandlere

Den viktigste regelen er: Bruk alltid et sterkt passord.

For å unngå bryet med å gjøre opp og huske så mange robuste passord, bruker du en tilfeldig passordgenerator for å enkelt lage lange, unike og virkelig utenkelige passord.

Hvis du deretter lagrer disse passordene med en passordbehandler, trenger du bare å huske et enkelt passord (som du kan generere med Diceware, for å gjøre det ekstra sikkert). I tillegg hjelper tofaktorautentisering å beskytte kontoer mot enda mer sofistikerte angrep, for eksempel passord oppnådd gjennom phishing-angrep.

Hvordan brute-force cracking kan avsløre passordet ditt
admin Author
Sorry! The Author has not filled his profile.