Издание ArsTechnica опубликовало обзорную статью, в которой подробно объясняются причины снижения безопасности паролей в последние несколько лет, сообщает ХАКЕР.ру. Несколько лет назад такое сложно было себе представить, говорится в статье.
Например, более 90% паролей были подобраны всего за шесть дней после утечки 6,5 млн парольных хэшей соцсети LinkedIn (хэш - закодированное значение пароля, которое хранится в базе данных). Относительно защищенными могут чувствовать себя только те, кто пользуются программами-менеджерами паролей.
Эксперты утверждают, что среднестатистический пароль в 2012 году слаб как никогда, даже 13-ти или 16-значные пароли в наше время не могут считаться безопасными. К настоящему времени сложилась такая ситуация, что при утечке с любого сервиса базы парольных хэшей мгновенно расшифровывается около 60% паролей, то есть взломщикам вообще не нужно прикладывать никаких усилий — эти 60% являются результатом применения знаний, накопленных раньше.
Это объясняется несколькими причинами. Во-первых, это рост вычислительной мощности: прозванные хакерами "числодробилками" графические процессоры (GPU), на которых происходит перебор хэшей, стали гораздо более производительными. Например, AMD Radeon HD7970 GPU способен вычислять 8,2 миллиарда хэшей в секунду. Однако это не главная причина.
Самое важное, что за последние три года техника взлома паролей кардинально усовершенствовалась. По мнению специалистов, невозможно даже сравнивать те примитивные методы атаки по словарю, которые использовались раньше, и аналитику на базе десятков миллионов утёкших паролей, которые доступны специалистам сейчас.
В 2009 году произошла самая массовая в истории утечка пользовательских паролей: с помощью SQL-инъекции на сайте RockYou хакерам удалось утянуть 32 миллиона паролей открытым текстом. С того момента и началась новая эпоха.
Гигантская база данных позволила разработчикам ПО для взлома паролей полностью переработать словари, по которым осуществляется брутфорс. Вместо "теоретических" словарей у них появились настоящие словари с реальными паролями. База RockYou до сих пор считается самым лучшим ресурсом для взлома.
Начиная с 2009 года, после каждой новой утечки хэшей всё большую часть из них удавалось подобрать по словарю, а ресурсы выделялись на анализ сложных паролей, которые затем тоже добавлялись в словарь. Например, пароль вроде Sup3rThinkers теперь считается легким для взлома, потому что он подбирается по словарю с несколькими заменами, для которых существуют соответствующие правила.
Таким образом, утечки становились всё чаще, и базы пополнялись. По оценкам специалистов, только за прошлый год в онлайне опубликовано более 100 миллионов пользовательских паролей.