Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Dzień (nie)bezpiecznego Internetu – case study
Nie obchodziliśmy dnia bezpiecznego Internetu, ale jak donosi nam jeden z czytelników – wiele serwisów i owszem. Dajmy na to Komputerświat uważa, że „mocne” hasło:
Musi składać się z co najmniej ośmiu losowych wybranych dużych i małych liter, cyfr oraz znaków specjalnych.
Zobaczmy więc. Różnych znaków w haśle możemy mieć 95. Ośmioznakowe hasło (składa się ono z co najmniej ośmiu losowych znaków ;) to 95^8 = 6634204312890625 możliwości.
Sprawdźmy teraz możliwości łamania. Weźmy ledwie jedną, ale za to bardzo mocną kartę NVIDII (GTX 2080 Ti) i dla przykładu algorytm hashujący SHA-1 (swoją drogą znacznie słabszy MD5 obecnie cały czas często bywa w użyciu).
Wg benchmarku dla SHA-1 uzyskujemy taką prędkość: 16310.0 MH/s (megahashy / sek).
Speed.Dev.#1…..: 16310.0 MH/s (69.51ms) @ Accel:128 Loops:512 Thr:256 Vec:1
Czyli nasz hash maksymalnie będzie się łamał następującą liczbę sekund: 6634204312890625 / 16310000000 = 406756 sekund.
Ile to w godzinach? 406756 / 3600 ~= 113 godzin. I to w przypadku pesymistycznym. Średnio nasze hasło będzie łamane 56,5 godziny. Czy można je nazwać „mocnym”?
A może lepsze będzie takie: bedeZawszeUzzywacTrodnychchasel ?
–ms
Nie będzie, przecież trudne hasło do zapamiętania == trudne hasło, nie? ;)
correct horse battery staple ;)
Od 2004 roku (rozporządzenie) 8 znakowe hasło wytatuowało w umysłach ludzi tak głęboką dziarę, że zmiana przyzwyczajeń w pół roku nie jest możliwa. Smutne. Ktoś nietechnologiczny uznał, że 8 znaków to wyzwanie nie do złamania. Szkoda, że po kilku latach zapomniał o jakiejkolwiek aktualizacji lub o pozostawieniu dowolności w oparciu o grożące nam ryzyko.
Można je nazwać mocnym – jeżeli będzie zmieniane co 24h :p
A ile takie hasło będzie łamane jeśli będzie zahashowane bcryptem?
Brakuje tu jakiegoś porównania
Będzie raczej niełamalne, ale bcrypt spotykany jest (niestety) dość rzadko…
A co, jeśli w haśle zastosujemy znaki diakrytyczne ? ;)
W zasadzie nic ;)
Nie jestem specem od security, więc może pytanie jest banalne – jakiego algorytm hashującego używa MS windows do przechowywania haseł (lokalnie albo w AD). Czy to jest MD5 ?
To zależy jaki Windows i jak skonfigurowane. Na zupełny start polecam: https://medium.com/@petergombos/lm-ntlm-net-ntlmv2-oh-my-a9b235c58ed4
nikt nigdy nie poświęci na was tyle czasu gpu
Skąd taki wniosek? Skąd wiesz kim są i w posiadaniu jakich są danych? ;-)
Poza tym to wynik zastosowania raptem jednej karty.
A co z polskimi znakami?
CiężarówkaCzytaDżdżystąKsiążkę
Jak użyjesz polskich znaków w hadle do AD to z tego co pamiętam niektóre urządzenia/ systemy moga miec problem z uwierzytelnieniem np. do activesynca z ios.
Przeczytałem tekst po ukazaniu, też się zaśmiałem z tych ośmioznakowców – a dziś mnie tak coś tknęło z tym łamaniem haseł.
Jeżeli nie mają hasha hasła to takim brutforcem raczej słabo łamać nawet 4 znakowe hasło jeśli usługa blokuje dostęp na np. 15minut po 3 nieudanych próbach – idzie w lata.