Защо паролите никога не са били толкова слаби, колкото са сега
Xakep #241. Хакване на игри
Основната теза е, че средната парола през 2012 г. е по-слаба от всякога. Това се дължи на няколко причини. Първо, най-очевидното: GPU „трошачите на числа“, на които се сортират хешове, станаха много по-мощни през последните години. Например AMD Radeon HD7970 GPU е в състояние да изчисли 8,2 милиарда хешове в секунда. Но това не е основната причина.
Най-важното е, че техниката за разбиване на пароли се подобри драстично през 2009-2012 г. Според експерти е невъзможно дори да се сравнят онези примитивни методи за атака чрез речник, които са били използвани преди, и анализи, базирани на десетки милиони изтекли пароли, които сега са достъпни за специалистите.
Произходът на настоящите проблеми е през 2009 г., когато се случи най-масовото изтичане на потребителски пароли в историята. В резултат на SQL инжекция на уебсайта RockYou, хакерите успяха да откраднат 32 милиона пароли в чист текст. От този момент започва нова ера.
Гигантската база данни позволи на разработчиците на софтуер за кракване на пароли напълно да преработят речниците, използвани за груба сила. Вместо "теоретични" речници, те вече имат истински речници с истински пароли. Базата данни RockYou все още е уникална, най-добрият ресурс за хакване.
От 2009 г. нещата вървяха гладко. След всяко ново изтичане на хешове, все по-голяма част от тях можеха да бъдат познати от речника и бяха разпределени ресурси за анализ на сложни пароли, които след това също бяха добавени към речника. Например, в днешно време парола като Sup3rThinkers се счита за лесна за разбиване, защото е избрана от речник с няколко замествания, за които има съответни правила. За да се ускорят търсенията в речници от десетки гигабайти, се използват дъгови таблици.
ДА СЕВ момента ситуацията е такава, че когато база данни с хеш пароли изтече от която и да е услуга, 60% от паролите се откриват незабавно с помощта на речници! Тоест, те изобщо не трябва да работят - тези 60% са резултат от прилагане на натрупаните преди това знания.
В наше време само онези, които използват мениджъри на пароли като 1Password или PasswordSafe, могат да се чувстват относително сигурни.