-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Dzień (nie)bezpiecznego Internetu – case study

13 lutego 2019, 10:04 | W biegu | komentarzy 15

Nie obchodziliśmy dnia bezpiecznego Internetu, ale jak donosi nam jeden z czytelników – wiele serwisów i owszem. Dajmy na to Komputerświat uważa, że „mocne” hasło:

Musi składać się z co najmniej ośmiu losowych wybranych dużych i małych liter, cyfr oraz znaków specjalnych.

Zobaczmy więc. Różnych znaków w haśle możemy mieć 95. Ośmioznakowe hasło (składa się ono z co najmniej ośmiu losowych znaków ;) to 95^8 = 6634204312890625 możliwości.

Sprawdźmy teraz możliwości łamania. Weźmy ledwie jedną, ale za to bardzo mocną kartę NVIDII (GTX 2080 Ti) i dla przykładu algorytm hashujący SHA-1 (swoją drogą znacznie słabszy MD5 obecnie cały czas często bywa w użyciu).

Wg benchmarku dla SHA-1 uzyskujemy taką prędkość: 16310.0 MH/s (megahashy / sek).

Speed.Dev.#1…..: 16310.0 MH/s (69.51ms) @ Accel:128 Loops:512 Thr:256 Vec:1

Czyli nasz hash maksymalnie będzie się łamał następującą liczbę sekund: 6634204312890625 / 16310000000 = 406756 sekund.

Ile to w godzinach? 406756 / 3600 ~= 113 godzin. I to w przypadku pesymistycznym. Średnio nasze hasło będzie łamane 56,5 godziny. Czy można je nazwać „mocnym”?

A może lepsze będzie takie: bedeZawszeUzzywacTrodnychchasel ?

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Nie będzie, przecież trudne hasło do zapamiętania == trudne hasło, nie? ;)

    Odpowiedz
  2. mck

    correct horse battery staple ;)

    Odpowiedz
  3. Michał

    Od 2004 roku (rozporządzenie) 8 znakowe hasło wytatuowało w umysłach ludzi tak głęboką dziarę, że zmiana przyzwyczajeń w pół roku nie jest możliwa. Smutne. Ktoś nietechnologiczny uznał, że 8 znaków to wyzwanie nie do złamania. Szkoda, że po kilku latach zapomniał o jakiejkolwiek aktualizacji lub o pozostawieniu dowolności w oparciu o grożące nam ryzyko.

    Odpowiedz
  4. piatkosia

    Można je nazwać mocnym – jeżeli będzie zmieniane co 24h :p

    Odpowiedz
  5. aaaa

    A ile takie hasło będzie łamane jeśli będzie zahashowane bcryptem?
    Brakuje tu jakiegoś porównania

    Odpowiedz
    • Będzie raczej niełamalne, ale bcrypt spotykany jest (niestety) dość rzadko…

      Odpowiedz
  6. Stenly

    A co, jeśli w haśle zastosujemy znaki diakrytyczne ? ;)

    Odpowiedz
  7. Maniek

    Nie jestem specem od security, więc może pytanie jest banalne – jakiego algorytm hashującego używa MS windows do przechowywania haseł (lokalnie albo w AD). Czy to jest MD5 ?

    Odpowiedz
  8. Sebastian

    nikt nigdy nie poświęci na was tyle czasu gpu

    Odpowiedz
    • zero one

      Skąd taki wniosek? Skąd wiesz kim są i w posiadaniu jakich są danych? ;-)
      Poza tym to wynik zastosowania raptem jednej karty.

      Odpowiedz
  9. Sledziu

    A co z polskimi znakami?
    CiężarówkaCzytaDżdżystąKsiążkę

    Odpowiedz
    • Rxtx

      Jak użyjesz polskich znaków w hadle do AD to z tego co pamiętam niektóre urządzenia/ systemy moga miec problem z uwierzytelnieniem np. do activesynca z ios.

      Odpowiedz
  10. Q

    Przeczytałem tekst po ukazaniu, też się zaśmiałem z tych ośmioznakowców – a dziś mnie tak coś tknęło z tym łamaniem haseł.

    Jeżeli nie mają hasha hasła to takim brutforcem raczej słabo łamać nawet 4 znakowe hasło jeśli usługa blokuje dostęp na np. 15minut po 3 nieudanych próbach – idzie w lata.

    Odpowiedz

Odpowiedz na Stenly