Video: Ano po ang password ng Wifi (Nobyembre 2024)
Mahirap sa isang linggo ang dumadaan nang walang balita ng isang paglabag sa data na naglalantad ng milyon-milyon o bilyun-bilyong mga password. Sa karamihan ng mga kaso, ang talagang nakalantad ay isang bersyon ng password na pinatakbo ng isang hashing algorithm, hindi ang mismong password. Ang pinakabagong ulat mula sa Trustwave ay nagpapakita na ang pag-hashing ay hindi makakatulong kapag lumikha ang mga gumagamit ng mga bobo na password, at ang haba na iyon ay mas mahalaga kaysa sa pagiging kumplikado sa mga password.
Ang mga hacker ay basagin @ u8vRj & R3 * 4h bago nila i-crack ang StatelyPlumpBuckMulligan o ItWasTheBestOfTimes.
Pagmamadali Ito
Ang ideya sa likod ng hashing ay ang ligtas na website ay hindi kailanman nag-iimbak ng password ng isang gumagamit. Sa halip, iniimbak nito ang resulta ng pagpapatakbo ng password sa pamamagitan ng isang hashing algorithm. Ang Hashing ay isang uri ng isang one-way na pag-encrypt. Ang parehong input ay palaging bumubuo ng parehong resulta, ngunit walang paraan upang bumalik mula sa resulta pabalik sa orihinal na password. Kapag nag-log in ka, ang server-side software ay nag-iwas sa iyong ipinasok. Kung tumutugma ito sa nai-save na hash, nakapasok ka.
Ang problema sa pamamaraang ito ay ang mga masasamang tao ay mayroon ding pag-access sa mga hashing algorithm. Maaari nilang patakbuhin ang bawat kumbinasyon ng mga character para sa isang naibigay na haba ng password sa pamamagitan ng algorithm at tumutugma sa mga resulta laban sa isang listahan ng mga ninakaw na mga password sa hashed. Para sa bawat hash na tumutugma, na-decode nila ang isang password.
Sa paglipas ng libu-libong mga pagsubok sa pagtagos ng network noong 2013 at unang bahagi ng 2014, ang mga mananaliksik ng Trustwave ay nakolekta ng higit sa 600, 000 na mga hashed password. Pagpapatakbo ng hash-cracking code sa mga makapangyarihang GPU, pinutok nila ang higit sa kalahati ng mga password sa ilang minuto. Ang pagsusulit ay nagpatuloy sa loob ng isang buwan, kung saan sila ay may basag na higit sa 90 porsyento ng mga sample.
Mga password - Mali ang Ginagawa Mo
Hawak ng karaniwang karunungan na ang isang password na naglalaman ng malalaking titik, maliliit na titik, numero, at bantas ay mahirap na pumutok. Ito ay lumiliko na hindi ganap na totoo. Oo, magiging matigas para sa isang malefactor na hulaan ang isang password tulad ng N ^ a & $ 1nG, ngunit ayon kay Trustwave ang isang umaatake ay maaaring basagin ang isa sa mas mababa sa apat na araw. Sa kabaligtaran, ang pag-crack ng isang mahabang password tulad ng GoodLuckGuessingThisPassword ay mangangailangan ng halos 18 taong pagproseso.
Maraming mga departamento ng IT ang nangangailangan ng mga password ng hindi bababa sa walong mga character, na naglalaman ng mga titik ng malalaking titik, maliliit na titik, at mga numero. Itinuturo ng ulat na, nakalulungkot, natutugunan ng "Password1" ang mga kinakailangang ito. Hindi sinasadya, ang Password1 ay ang pinaka-karaniwang solong password sa koleksyon sa ilalim ng pag-aaral.
Natagpuan din ng mga mananaliksik ng TrustWave na gagawin ng mga gumagamit ang eksaktong kinakailangang gawin, wala na. Paghiwa-hiwalayin ang kanilang koleksyon ng password ayon sa haba nakita nila na halos kalahati ay eksaktong walong character.
Gawin Nila Mahaba
Nasabi na namin ito dati, ngunit ito ay paulit-ulit. Ang mas mahaba ang iyong password (o passphrase) ay mas mahirap para sa mga hacker na basagin ito. Mag-type sa isang paboritong quote o pangungusap, pagtanggal ng mga puwang, at mayroon kang isang disenteng passphrase.
Oo, may iba pang mga uri ng pag-atake ng crack. Sa halip na sumira sa bawat solong kumbinasyon ng mga character, ang isang pag-atake sa diksyunaryo ay sumakit sa mga kumbinasyon ng mga kilalang salita, na masikip ang saklaw ng paghahanap. Ngunit sa isang sapat na password, ang brute-force cracking ay tatagal ng maraming siglo.
Ang buong mga hiwa ng ulat at dices ang data sa iba't ibang mga paraan. Halimbawa, higit sa 100, 000 ng mga basag na password ang binubuo ng anim na maliit na titik at dalawang numero, tulad ng unggoy12. Kung pinamamahalaan mo ang mga patakaran ng password, o kung interesado ka lamang na gumawa ng mas mahusay na mga password para sa iyong sarili, siguradong sulit na basahin ito.
