Vídeo: What’s New in Google’s IoT Platform? Ubiquitous Computing at Google (Google I/O '17) (De novembre 2024)
Difícilment passa una setmana sense notícies d’un incompliment de dades que exposi milions o milers de milions de contrasenyes. En la majoria dels casos, el que s’exposa realment és una versió de la contrasenya que s’executa mitjançant un algoritme de hashing, no la contrasenya en si. L’últim informe de Trustwave mostra que el hashing no ajuda quan els usuaris creen contrasenyes estúpides i que el llarg és més important que la complexitat de les contrasenyes.
Els pirates informàtics crack @ u8vRj & R3 * 4h abans que s’estipin StatelyPlumpBuckMulligan o ItWasTheBestOfTimes.
Desconcertant-ho
La idea que hi ha al darrere és que el lloc web segur no emmagatzemi mai la contrasenya de l’usuari. Més aviat, emmagatzema el resultat d’executar la contrasenya a través d’un algorisme. El xoc és una mena de xifrat unidireccional. La mateixa entrada sempre genera el mateix resultat, però no hi ha manera de passar del resultat a la contrasenya original. Quan inicieu la sessió, el programari del servidor té el que heu introduït. Si coincideix amb el hash desat, ja hi ets.
El problema d’aquest plantejament és que els dolents també tenen accés a algorismes de hashing. Poden executar totes les combinacions de caràcters per a una longitud de contrasenya determinada a través de l'algorisme i fer coincidir els resultats amb una llista de contrasenyes hashed robades. Per a cada hash que coincideixi, ha descodificat una contrasenya.
Durant els milers de proves de penetració de la xarxa durant el 2013 i principis del 2014, els investigadors de Trustwave van recopilar més de 600.000 contrasenyes hash. Amb el codi de trencament de hash en potents GPU, es van deixar passar la meitat de les contrasenyes en pocs minuts. La prova va continuar durant un mes, moment en el qual havien esquerdat més del 90 per cent de les mostres.
Contrasenyes: ho esteu fent malament
La saviesa comuna afirma que és difícil de creure una contrasenya que conté lletres majúscules, minúscules, dígits i puntuació. Resulta que no és del tot cert. Sí, seria difícil per a un malfactor endevinar una contrasenya com N ^ a & $ 1nG, però, segons Trustwave, un atacant podria trencar-lo en menys de quatre dies. Per contra, produir una contrasenya com ara GoodLuckGuessingThisPassword requeriria gairebé 18 anys de processament.
Molts departaments informàtics requereixen contrasenyes d'almenys vuit caràcters, que continguin lletres majúscules, minúscules i dígits. L’informe assenyala que, malauradament, “Contrasenya1” compleix aquests requisits. No casualment, Password1 era la contrasenya única més comuna de la col·lecció estudiada.
Els investigadors de TrustWave també han trobat que els usuaris faran exactament el que se'ls exigeix, sense més. Desglossant la col·lecció de contrasenyes per longitud, es va trobar que gairebé la meitat eren exactament vuit caràcters.
Fer-los llargs
Ja ho hem dit abans, però ja es repeteix. Com més llarga sigui la vostra contrasenya (o frase de contrasenya), més difícil és que els pirates informàtics la vulguin trencar. Escriviu una frase o una frase preferides, ometent espais i teniu una frase de contrasenya decent.
Sí, hi ha un altre tipus d’atacs de cracking. En lloc de combinar cada combinació de caràcters, un atac de diccionari combina combinacions de paraules conegudes, reduint significativament l’abast de la cerca. Però amb una contrasenya prou llarga, els cracs de força bruta encara duraran segles.
L’informe complet talla i retalla les dades de diverses maneres. Per exemple, més de 100.000 de les contrasenyes esquerdades consistien en sis lletres minúscules i dos dígits, com la mona12. Si gestiona les polítiques de contrasenya o, si només t’interessa fer millors contrasenyes, val la pena llegir-lo.