Почему важно использовать длинные пароли: сколько времени требуется на взлом разных паролей
В отчёте компании по кибербезопасности Hive Systems показано, сколько времени обычному хакеру требуется, чтобы взломать пароли, которые вы используете для защиты своих самых важных учётных записей в Интернете. Например, использование одних только цифр может позволить хакеру мгновенно взломать ваш пароль длиной от 4 до 11 символов.
Согласно Hive Systems, пароли из четырёх-восьми символов только в нижнем регистре могут быть взломаны мгновенно, а пароль, состоящий из девяти букв в нижнем регистре, может быть обнаружен за 10 секунд. Если для пароля требуется 10 символов, это увеличивает время до 4 минут, в то время как 11-символьный пароль, использующий только строчные буквы, можно подобрать за два часа.
При комбинации строчных и прописных букв пароли из четырёх-шести символов могут быть взломаны мгновенно. Для взлома паролей, состоящих из семи символов, требуется всего две секунды, в то время как пароли из восьми, девяти и десяти символов, использующие как строчные, так и прописные буквы, можно подобрать за две минуты, один час и три дня соответственно. Пароль из 11 символов с использованием заглавных и строчных букв может удерживать хакера на срок до пяти месяцев.
Даже если вы смешаете строчные и прописные буквы вместе с цифрами, использование пароля, состоящего всего из четырёх-шести символов, небезопасно. А если вы добавите в смесь символы, то даже пароль из шести символов можно будет взломать мгновенно. Суть в том, что ваш пароль должен быть длинным, а добавление одной дополнительной буквы может иметь огромное значение для обеспечения безопасности ваших личных данных. Например, согласно отчёту, при использовании строчных и прописных букв, цифр и символов, время взлома десятисимвольного пароля займёт пять месяцев. Если использовать те же буквы, цифры и символы, но в 11-символьном пароле, то его взлом займёт целых 34 года.
Hive утверждает, что пароль, используемый в Интернете, должен содержать не менее 8 символов, сочетая цифры, прописные буквы, строчные буквы и символы.
Проверьте свой пароль
Перебор всех возможных комбинаций символов, пока не найдется «правильный ответ». Этот процесс может занять много времени, поэтому для подбора обычно используются словари и списки распространенных паролей вроде qwerty или 123456.
Как устроена проверка по базам утекших паролей?
Мы используем базу данных авторитетного сервиса Have I Been Pwned, который накапливает информацию об утечках аккаунтов и паролей.
Хороший пароль!
- Хорошая новость: у вас стойкий ко взлому пароль.
Пароль пора менять
- Плохая новость! Ваш пароль легко взломать
- Пароль слишком короткий
- Распространенный пароль или слово
Пароль пора срочно менять!- Плохая новость
- Пароль слишком короткий
- Распространенный пароль или слово
Для подбора вашего пароля потребуется.
Узнай, как придумать супернадежный пароль!
Как взломать легкий пароль на раз-два-три
Специалисты Центра цифровой экспертизы Роскачества считают, что в наши дни такую роскошь, как простой пароль, пользователь уже не может себе позволить. Рассказываем почему.
Каждую неделю мы узнаем об утечках данных. Ими сейчас никого не удивишь. Сегодня пароли типа qwerty или oleg123 может раскрыть даже школьник.
Теория взлома
Для начала нам нужно познакомиться со значением этих слов: «хеширование», «шифрование» и «соль» (не пищевая). Все они относятся к защите данных и работе с ними, куда входит и пароль.
Хеширование – это процесс преобразования данных в текст определенной длины. Хеширование по простоте использования можно сравнить с калькулятором, поэтому этот метод программисты применяют на большинстве сайтов и в приложениях.
Хеширование спасет, если пользователь применяет сложный и очень сложный пароль. Такой пароль из хеша будет дольше взламываться, а через атаку по словарю – почти вечность.
Шифрование – более сложный процесс кодирования информации с целью предотвращения несанкционированного доступа. В случае утечки зашифрованные данные будут недоступны для прочтения без соответствующего ключа.
Отметим, что шифрование – серьезная и очень дорогостоящая система, которая постоянно обновляется. Например, пиццерия просто физически не сможет потратить столько средств на обеспечение того же уровня информационной безопасности, как банковский сектор.
Соль – последовательность данных, которую добавляют к криптоключу, чтобы избежать раскрытия информации методом перебора. Ее-то и вычисляют хакеры, чтобы приступить к взлому.
На большинстве сайтов личная информация пользователей не шифруется, а только хешируется. Хеширование проще и позволяет ускорить работу сетевых служб. Именно поэтому сайт для заказа суши или роллов намного уязвимее, чем любое банковское приложение.
В случае атаки хакеры нацелены не в последнюю очередь на личные данные пользователей.
Проведем эксперимент
Возьмем пароль qwerty и прибегнем к хешированию, которое применяют в Unix-системах. Если делать хеш-функции данного пароля, то выйдут различные данные в зависимости от применяемого алгоритма шифрования.
Используя более сложные алгоритмы, мы увеличиваем длину ключа, тем самым повышая криптостойкость, но работает это, к сожалению, только в паре с длинным и надежным паролем.
В данном случае нам нужен набор действий, чтобы вычислить пароль по методу атаки по словарю, который очень активно используют хакеры.
Для этого заручимся поддержкой бесплатного словаря простейших паролей. Установим программу Hashcat – одну из самых популярных и весьма легальных для раскрытия паролей.
В большинстве случаев мошенники получают данные в виде не связанных между собой символов по типу:
С виду полная абракадабра, ведь пароль прошел криптографические манипуляции – хеширование и соль. Но у хакеров есть все инструменты, чтобы взломать его.
Для начала необходимо понять, какой алгоритм использовался, исходя из длины функции можно сделать определенные выводы. Далее необходимо установить, была ли применена соль к хеш-функции.
Запустим Hashcat на расшифровку по словарю, указывая по очереди различные алгоритмы, на которые похожа хеш-функция, и спустя какое-то время – вуаля! Программа выдаст нам тот самый qwerty.
Подобным образом взламываются и другие легкие пароли. Теоретически так можно вычислить любую комбинацию. А так как у многих пользователей стоят одинаковые простые пароли для разных сервисов, то в дальнейшем вычислить сайты, где человек имеет один и тот же пароль, – дело техники. Ведь в личных кабинетах пользователей, помимо бонусов, могут быть привязанные банковские карты и прочие личные данные.
К счастью, хакеры часто идут по пути наименьшего сопротивления. Без особой нужды они не будут так заморачиваться, как в описанном методе, не предвкушая явной выгоды.
Но вот какой-нибудь смышленый школьник вполне может украсть пароли от личных кабинетов на сайте заказа пиццы. Сейчас в интернете полно обучающих материалов. Заинтересованный человек при желании и соответствующих способностях может самостоятельно изучить информацию и приступить к практике, познавая мир хакеров.
Именно поэтому очень важно создавать длинные и сложные пароли. Ведь тогда вместе с хеш-алгоритмами и солью будут создаваться весьма криптостойкие конструкции, которые не позволят хакерам приблизиться к вашим персональным данным.
Следите за новостями, подписывайтесь на рассылку.
При цитировании данного материала активная ссылка на источник обязательна.
Ученые рассказали, как взломать пароль-«узор» на Android 25 января 2017, 04:35
Британские ученые разработали алгоритм, который позволяет взломать графический ключ на смартфонах с ОС Android всего за пять попыток. Согласно исследованию, для взлома пароля злоумышленнику достаточно заснять на камеру процесс разблокировки экрана.
Ученые пояснили, что злоумышленнику не нужно «подглядывать» в экран чужого смартфона, достаточно направить камеру, сидя сбоку или прямо перед владельцем телефона на расстоянии в 5-9 метров. Программа, разработанная на основе созданного учеными алгоритма, анализирует движения рук. Длинные и сложные комбинации линий только облегчают задачу алгоритму, так как у него остается меньше возможных вариантов при увеличении числа компонентов в пароле.
Как показали эксперименты, программе удалось распознать более 95 процентов ключей с пяти попыток, при этом сложные пароли она угадывает с первой попытки в 87,5 процента случаев, простые — в 60 процентов.
Подобные методики взлома, как считают ученые, могут поступить на вооружение спецслужб и дать возможность силам правопорядка узнавать пароли интересующих их лиц.
- ПОДЕЛИТЬСЯ