Tak szybko można złamać Twoje hasło w 2022 roku
Komputer kwantowy z 100000 qubitów i 99,99999 skuteczności, wszystkie hasła poniżej 1s.
używam jednego hasła ma 27 znaków małe i duże litery + cyfry i znaki specjalne :) to ile czasu zajmie jego złamanie ?
Wystarczy że jeden system który trzyma to Twoje jedno hasło spieprzy sprawę - wtedy wszystkie konta są otwarte.
Zanim napiszesz o SSL i hashowaniu haseł. w 2018 Twitter miał błąd że trzymał hasła w logach plaintextem.
O takich problemach mówię. Zdarzały się i zdarzać się będą. Nawet największym graczom. Jedno hasło do wszystkiego składające się z 27 znaków w niczym nie jest bezpieczniejsze od hasła z powiedzmy 12 znaków dla przecietnego (czyli nie takiego którego będą targetowali hackerzy - jak prezydent np) ale za każdym razem innego. Bo poprostu szybciej serwis który korzysta z Twojego hasła spieprzy sprawę szybciej niż ktoś shakuje Twoje 12 znakowe hasło
Przy kodowaniu MD5, jest większa szansa, że trafi się krótsza ilość znaków co dzieli ten sam hash z twoim hasłem.
Najpewniej tyle ile tobie wpisanie go na klawiaturze do jakiegoś programu czy strony gdy w tle się zaaplikuje keyloggera. Albo wycieknie z jakiejś gównianej bazy to wtedy tyle co skopiowanie i wklejenie. Dlatego do większości portali możesz mieć prostsze hasła byle było ich wiele.
jeśli podałeś prawdziwe info to tak dla twojej informacji zmniejsza to ilość kombinacji a przy tym czas łamania hasła 27 stałej ilości znaków do przeszukania - także gratuluje podejścia
cholera trzeba se hasła pozmieniać na więcej niż 18, a to trzeba litera | liczba | litera ? czy można w jakiej kolwiek kolejności
Nie ma znaczenia w jakiej kolejności, byleby znajdowały się tam liczby, znaki, litery małe i duże.
Wzór litera-cyfra-litera tylko niepotrzebnie zmniejsza entropię (w skrócie losowość) hasła. Im bardziej chaotycznie, tym lepiej dla siłu hasła, ale gorzej dla łatwości zapamiętywania.
przykład na twoim nicku: ImFilip -> 1mF1L1P, lub coś odrobine dłuższego: Gry-Online jako hasło: 6Ry0nl1N3
Ja kiedyś popełniłem dziwny błąd i mój nick na twitterze był ten sam co hasło.
Przez jakieś dwa lata moje konto to był zbiór cyfr i liter które było moim hasłem widoczne dl każdego :D
Polecam hasła typu "PutinToCh**iMorderca666", łatwiejsze do zapamiętania niż zlepek losowych literek i cyferek, a jest wystarczająco długie i ma sporo symboli. :)
Jak Putin to i Obama też.
Pisz co chcesz, ważne, że łatwiejsze do zapamiętania niż XHnsJ345KJLDO**(9. Myślałem, że prosty przykład nie będzie musiał być przeze mnie tłumaczony, ale zapomniałem, że mogę urazić swoim wpisem jakiegoś zwolennika Putina. :) Co mnie nawet cieszy.
Te tabele ładnie pokazują, jaką różnicę robi użycie dobrego algorytmu haszującego, w porównaniu z przestarzałym.
Warto też podzielić te teoretyczne czasy łamania haseł przez 2, bo zwykle znajduje się właściwą kombinację po sprawdzeniu trochę ponad połowy możliwości (paradoks dnia urodzin).
Trzeba pamiętać że to czasy łamania haseł pod warunkiem bezpośredniego i nieograniczonego dostępu do bazy danych. Żaden normalny serwis internetowy na przykład, nie pozwoli na wysyłanie tysięcy żądań na sekundę.
Dokładnie.
Pomijając już czas reakcji, to 99% dobrych serwisów zablokuje dostęp po dosłownie kilku próbach na jakiś czas.
Do tego pierwsza tabelka dotyczy haseł MD5, które chyba wyszły z obiegu już wieki temu...
Serwis może nie. Ale wystarczy, że się włamią i pobiorą bazę haseł (albo po prostu wezmą z otwartego serwera) i będą łamać na lokalnej kopii, gdzie nie ma żadnych ograniczeń ilości prób. I potem już mają hasło do danego serwisu i przy okazji mogą parę login-hasło wypróbować na powiedzmy 50 najpopularniejszych stronach, bo wiele osób ma 1 hasło do wszystkiego.
No tak, ale to już bardziej podchodzi pod zaniedbania providera, a nie twojego własnego błędu. Równie dobrze provider może stosować felerny program/skrypt do szyfrowania, nie stosować go wcale, lub mieć jakąś głupią lukę która spowoduje że hasła są gdzieś kopiowane w nie-hashowanej formie, i wtedy nawet 384 bitowe hasło cię nie ratuje.
Konto Google i FB mam zabezpieczone kluczami U2F więc (raczej) w tych wypadkach łamanie haseł mi nie straszne. Zastanawiam się jeszcze nad rozpoczęciem używania jakiegoś menadżera haseł obsługującego klucze sprzętowe.
Sam używam Bitwardena. Nie robi mi problemów, tańszy niż reszta i na wsparcie np dla yubikeya.
Ale przecież po kilku błędach dostęp do konta jest czasowo blokowany. W 2022 roku jaki serwer pozwoli na miliard prób na sekundę? hmm?
Poza tym samo hasło to nie wszystko, trzeba znać jeszcze login, druga sprawa jak ktoś nie ma dwustopniowego systemu logowania z potwierdzeniem minimum na telefon komórkowy jest po prostu idiotą (mówię tu o ważnych kontach nie do gry kucyk Pony)
Haker pobiera sobie bazę użytkowników i łamie hasze bez żadnych spowolnień, a potem testuje parę login (jest tekstem jawnym w bazie danych)-hasło w najpopularniejszych serwisach.
a co mu po samym haśle bez loginu?
ale jak robi dajmy na to baze danych haseł banku offline, zeby sprawdzić wszystkie możliwości hasła? Często login to adras email ale nie koniecznie.
Baza użytkowników ma mniej więcej taki format: login|sół (jeśli się przykładają do zabezpieczania)|hasz hasła. Więc tak, jak haker rąbnie bazę użytkowników, to do złamanych haseł ma od razu loginy. 2FA, ten leży.
Logowali się tysiąc razy do jednego konta bo nie kumam, jak doszli do tego ze to akurat to hasło .
Łamanie haszy się robi na bazie offline, gdzie nie ma żadnych spowalniaczy. I polega to na tym, że haszujesz potencjalne hasło tym samym algorytmem, który mają hasła w bazie i porównujesz wynik. Jak nie działa, bierzesz następne hasło i tak do skutku. W momencie jak hasz w bazie i hasz twojego hasła są identyczne, to znaczy, że znalazłeś prawidłowe hasło (lub kolizję dla hasza, czyli takie hasło, które daje identyczny hasz jak prawidłowe, więc pozwoli się zalogować do konta mimo swojej nieprawidłowości).
dajmy na to, że masz hasz 55dsx. sprawdzasz "pies" i wychodzi 85c66. Jedziesz dalej, sprawdzasz "kot" i wychodzi 55dsx, to wiesz, że masz hasło.
Warto mieć na uwadze to, że sama długość i rodzaj znaków to nie wszystko. Liczy się bardzo również treść hasła - gdzieś czytałem, że do faktycznego łamania hashów używa się specjalnych słowników (wielo-gigabajtowych!), dzięki którym łamanie można przeprowadzić o wiele, wiele szybciej.
Dlatego hasło złożone z losowych znaków jest raczej najbezpieczniejszym rozwiązaniem.
A jeszcze bezpieczniejszym rozwiązaniem jest zmiana hasła jak tylko dojdzie do jego wycieku.
Czyli mój mail Google absolutnie bezpieczny jeżeli sprawy nie zawali sam wujek Google... Albo nie doznam urazu głowy haha 39 znaków mam w unikalnym hasle do Gmaila. Duże i małe litery plus cyfry ^^ aż dziw bierze że człowiek to pamięta.
MD5 nikt poważny już nie używa...
Zawsze powtarzali, nie ważne jak skomplikowane hasło masz, ważniejsze jest by było długie, wtedy może być nawet prostsze.
Wtedy nawet z MD5 nikt nie da rady.
Ale i tak można mieć pecha i gdzieś ktoś zapisze żenująco w plain text hasła, także na to rady nie ma...
Dlatego najlepiej mieć 2 hasła, do spraw ważnych i ważniejszych, a przede wszystkim aktywować 2FA gdzie się da, bo wtedy mogą znać nawet wasze hasło i nie zrobią i tak nic bez waszego smarta (2FA na maila nie polecam)
Niepoważni też istnieją. I nawet poważni popełniają czasem dziwaczne błędy.
A co do długości... zauważ, że w tabelach jest mowa o łamaniu haseł wyłącznie metodą brutalnego ataku (brute force), a w praktyce się stosuje bardziej inteligentne podejście hybrydowe. Najpierw się robi atak słownikowy, zaczynając od listy znanych haseł, które już gdzieś wyciekły, i nawet tę listę rozpoczynając od najpopularniejszych. Potem dopiero idzie wypróbowywanie wszystkich możliwości (z pominięciem tego, co przetestowano słownikowo), a i to się optymalizuje, zaczynając od najczęściej spotykanych wzorów (np. tekst zaczynający się od wielkiej litery, a na końcu cyfry i jakiś znak przystankowy). Dodaj do tego paradoks urodzinowy i już możesz wszystkie te czasy podzielić przez dwa.
Sama długość nic ci nie da, bo jak wrzucisz hasło 11111111111111111111111111111111111111111, to złamanie go nie potrwa zbyt długo, chociaż ma 40 znaków.
To już nie moja strata jak ktoś ustawia sobie marne hasło i jeszcze bardziej obniża bezpieczeństwo.
A co do długości to podajesz ekstremalny przykład, wręcz absurdalny, wiec nie, jak najbardziej długość da mi wszystko i ta zasada się sprawdza od dawna, hasło nie do złamania za naszego życia.
Chodzi głównie o to, że skomplikowane hasła trudno zapamiętać czasami, a więc wystarczy zwiększyć ilość znaków, ale uprościć, co pozwoli dużo łatwiej je zapamiętać.
Zabawne jest to, że dodając tylko jedną literkę do tego absurdalnego przykładu, hasło to staje się nie do złamania.
Dlatego ja używam Yubico YubiKey 5C NFC U2F i nawet po złamaniu hasła nikt nie wejdzie na konto. Bo na te wszystkie aplikacje do weryfikacji czy SMSy już znaleźli sposoby, a przy fizycznym kluczu Hakery mogą się cmoknąć.
PS: to nie jest reklama i nie otrzymałem żadnego wynagrodzenia za ten komentarz.
Polecam także klucze innych firm. :)
Dodam może że nie poleca się stosowania generatorów haseł. Lepiej samemu klepać i powstawiać znaki specjalne.
Błąd. Nie poleca się stosowania generatorów online, które potencjalnie sobie mogą gdzieś zapisywać generowane hasła. Generatory offline są jak najbardziej w porządku.
A co do samodzielnego wklepania losowego hasła, ludzki mózg jest stworzony do wyszukiwania porządku i wzorów, więc ludzie są beznadziejni w tworzeniu naprawdę losowych haseł.
Jerry_D chyba że walniesz pięścią w klawiaturę pare razy to wtedy wyjdzie ci dobre hasło.
Co do haseł i ich bezpieczeństwa.
Swoją marną kartą graficzną, czy generalnie tym co możesz sobie kupić (zakładając, że masz fundusze) w warunkach domowych niewiele zdiziałasz i nie ma to sensu ekonomicznego.
Kiedyś jeszcze na studiach się w to bawiłem. Komputery były słabsze, metody zabezpieczeń również.
I tak np. jedno z dawnych zabezpieczeń popularnych dokumentów można było po prostu usunąć, lub obejść (a były podobno szyfrowane - chyba sam nagłówek szyfrowało).
Tak samo jest z hasłami w Internecie. Hasła poniżej 16 znaków nie są w mojej opinii bezpieczne. Powyżej 16 znaków też nie dają 100% bezpieczeństwa.
Generalnie poza tzw brute force (liczenie po kolei hashy) istnieją metody (mniej lub bardziej skuteczne łamania prawie wszystkiego.
1. Jest coś takiego jak tablice tęczowe - tak naprawdę hashy podstawowych nikt już od dawna nie liczy. Opowiedzią na tablice tęczowe jest solenie haseł.
2. Łamanie WPA2 to nie tylko KRACK. Wspomniana metoda dawała atakującemu praktycznie natychmiastowy dostęp do atakowanej sieci.
3. Sam byłem zdziwiony, że da się złamać randomowe hasła o długości 30+ znaków. Skuteczność nie jest porażająca, ale jednak się da. Największym przyjacielem hakera jest matematyka, metody numeryczne i statystyka z probabilistyką.
4. Swego czasu we wszystkich mediach (o dziwo nawet w popularnej prasie komputerowej) polecano długie proste w zapamiętaniu hasła np. WielkiSpasionyUkradłSamochód (ewentualnie wariację z jakimś znakiem specjalnym). To nie jest bezpieczne hasło.
Temat można ciągnąć.
I teraz wniosek.
Zakładająć że jesteś przeciętnym Kowalskim, bądź Nowakiem jeżeli stosujesz bardzo podstawowe środki ostrożności zmniejszasz ryzyko wycieku danych praktycznie do zera.
Większość wielkich wycieków w sieci powodowana jest przez rażące niedbalstwo zarządcy danych, administratora systemu informatycznego, bądź samych devów.
Jako tzw. przeciętny obywatel nie masz większych szans na skuteczną obronę w momencie kiedy sam staniesz się celem ataku (nikt tutaj się nie bawi w łamanie haseł, klucz sprzętowy niewiele da). Tutaj druga kwestia - jako przeciętny obywatel nie posiadasz nic co by uzasadniało wzięcie ciebie "pod lupę".
W przypadku ataku na twój komputer najlepszym wyjściem jest odłączenie kabla sieciowego. To samo zresztą jest najlepszym sposobem na przerwanie ataku na sieć firmową (tzw. damage control).
A nie wystarczyło by poprawić a w zasadzie pogorszyć system sprawdzania hasła i np jedno hasło byłoby sprawdzane w ciągu 10 sekund. Wtedy złamanie hasła składającego się z jednej cyfry zajęłoby nawet do 100 sekund a im dłuższe hasło tym wiadomo. Jak to jest że haker ma możliwość wysyłania kilku milionów haseł na sekundę? System powinien przyjmować jedno na 10 sekund.
Sensownie zrobione logowanie powinno ograniczać próby logowania do tych kilki(nastu) i później odcinać na pewien czas. Ale czasem da się to obejść, albo haker dobiera się do bazy danych i łamie hasze offline. A tu już właśnie w grę wchodzi, jaki algorytm haszowania zastosowano. Jak niewymagający dużej mocy obliczeniowej MD5, to na sekundę da się sprawdzić powiedzmy 10 000 000 haseł, a jak bcrypt/scrypt, to już tylko np. 10 000 haseł/s.
Ogólnie to życzę powodzenia w łamaniu moich haseł???? zwykle mam od 50-128 znaków. W tym duże małe litery, czyfry i znaki specjalne. Nikomu nie opłaca się hakować takie długie hasła
Mistrzu, nauczaj mnie!
A tak poważnie, to gdzie ty tych haseł po 100 znaków używasz, jak ja nieraz chciałem użyć, to mi strony protestowały, że przyjmuje tylko 16-20 znaków, a raz to nawet bez żadnej informacji obcięła długość hasła.
Jarek to Ty?
Przypomina mi się pewna historia z Jarkiem (o ile to on). Kiedyś po pijaku próbował sobie przypomnieć hasło (128 znaków). Wpisywał całą noc zawzięcie. Nie powiedzieliśmy mu jednak że zamiast okienka do wpisywania hasła był odpalony edytor tekstu.
Trzy miesiące później wydaliśmy dwuczęściową powieść. Jak widać alkohol nie zawsze szkodzi.
-
Tak swoją drogą Jar... znaczy
Ogólnie to spoko ;-) takie hasła to ja rozumiem.