Kiek 2023 metais programišiui trunka nulaužti slaptažodį
Vis labiau populiarėjant autentikacijos be slaptažodžio metodui, slaptažodis vis dar išlieka populiariausia paskyrų apsaugos priemone. Ar jūsų slaptažodis saugus?
Dažnas kompiuterio naudotojas mano, kad jei jis slaptažodyje naudoja didžiąsias ir mažąsias raides — jo slaptažodis yra stiprus, o jei dar ir skaičių įdeda — nenugalimas.
Reikalas tas, kad taip nėra ir slaptažodžio stiprumas priklauso ne tik nuo to kokius ženklus naudojame, bet ir nuo to kiek ženklų sudaro slaptažodį bei kokias papildomas apsaugos priemones naudojame. Tobulėjant kompiuterinei įrangai, pelės ir katės žaidimas tarp naudotojų ir programišių įgauna naujus greičius ir siekiant apsaugoti savo paskyras naudotojams reikia peržiūrėti slaptažodžių arsenalą, esamai padėčiai pritaikyti slaptažodžių keitimo periodiškumo įpročius bei, kur yra galimybė pasitelkti papildomas apsaugos priemones.
Organizacijos vis dažniau taiko autentifikavimą be slaptažodžio, tačiau slaptažodžiai vis dar yra labiausiai paplitęs paskyrų apsaugos būdas. Slaptažodžių problema yra ta, kad juos galima atspėti, o naudojant šiuolaikines GPU[1], bandymai atspėti silpnus slaptažodžius brutalios jėgos (angl. brute-force) būdu, gali pavykti neįtikėtinai greitai. Pavyzdžiui, 6 simbolių slaptažodžius galima atspėti akimirksniu, nepaisant naudojamų raidžių, skaičių ir specialiųjų simbolių.
Kiekvienais metais „Hive Systems“ atlieka tyrimus, siekdama nustatyti, kiek trunka slaptažodžių nulaužimas, ir parengia metinę lentelę, kuri parodo, kodėl slaptažodžių ilgis ir sudėtis iš tikrųjų turi įtakos saugumui. Kad sudarytų lentelę, „Hive Systems“ įvertina santykinį maišos (ang. hash) slaptažodžių stiprumą, palygindama su brutalios jėgos bandymais atspėti slaptažodžius, suskirstytus pagal sudėtingumą bei ilgį, ir pateikia informaciją apie tai kiek laiko reikia įsilaužėliui, turinčiam vartotojo biudžetą, kad nulaužtų slaptažodžius naudojant stalinį kompiuteris su aukščiausio lygio vartotojų klasės vaizdo plokšte. Palyginimui „Hive System“ taip pat apskaičiuoja, kiek laiko prireiktų pažangiam, daug išteklių turinčiam įsilaužėliui, kad nulaužtų slaptažodį, pavyzdžiui, organizuoto nusikalstamumo gaujos nariui, turinčiam prieigą prie debesų kompiuterijos išteklių. Nuo praėjusių metų lentelės šiemet atsirado naujovių. Dabar slaptažodžių nulaužimo procese dalyvauja ir „ChatGPT“.
Pastaraisiais metais „Hive System“ savo analizę grindė įvairių specialiųjų simbolių naudojimu, o tai, žinoma, leido kurti slaptažodžių įvairovę, tačiau šių metų lentelė yra tikroviškesnė, nes į analizę įtraukti specialieji simboliai labiau atspindi tuos, kuriuos priima svetainės kurdamos slaptažodžius, t.y. ^*%$!&@ ir #. Visi kiti specialieji simboliai buvo atmesti. Slaptažodžių nulaužimas vyksta paimant slaptažodžio maišą, kuri buvo sukurta naudojant maišos algoritmą slaptažodį kuriant iš paprasto teksto, tada klaviatūroje sukuriamas simbolių derinys, sumaišomas ir jiedu palyginami. Tyrėjai savo analizę grindė programa, pavadinta „Hashcat“, kuri palaiko daugybę skirtingų maišos algoritmų.
Jei slaptažodį sudaro 8 simboliai, naudojant NIST rekomendaciją pasirinkus atsitiktinai sugeneruotą 8 simbolių eilutę — slaptažodį su skaičiais, didžiosiomis ir mažosiomis raidėmis bei simboliais, naudojant aukščiausios klasės GPU, kuri buvo prieinama 2018 m. (RTX 2080), jį nulaužti prireiktų 4 valandų. Šiandien naudojant naujausią GPU (RTX 4090) tai užtrunka vos 59 minutes, bet pasitelkus kompiuterinių debesų išteklius, slaptažodžio nulaužimo laikas sutrumpėja iki 19 minučių, jei naudojate 8-ias A100 GPU iš „Amazon AWS“, ir 12 minučių, jei naudojate 12-a A100 GPU.
Nors tyrėjai negalėjo išbandyti turimų išteklių apmokyti „ChatGPT“, jie galėjo numanyti, kiek laiko truks slaptažodžio nulaužimas naudojant 10 000 A100 GPU, kurios buvo naudojamos „ChatGPT“ apmokymui, ir nustatė, kad slaptažodžiui nulaužti prireiks maždaug 1 sekundės. Laimei, net labiausiai išteklius turintis įsilaužėlis greičiausiai nepanaudos tiek GPU, kad atspėtų jūsų slaptažodį.
Žemiau pateiktoje lentelėje parodyta, kiek laiko prireiks įsilaužėliui, naudojant standartinę įrangą, kad atspėti slaptažodį. Šie duomenys vaizdžiai parodo, kodėl slaptažodžio ilgis ir sudėtingumas yra svarbūs. Žinoma, jei jūsų slaptažodis atskleidžiamas kam nors, tarkim sukčiams, nesvarbu, koks sudėtingas yra jūsų slaptažodis — jūsų paskyra gali būti pasiekiama. Tokiems ir panašiems atvejams, kai slaptažodį gali sužinoti treti asmenys, reikia ne tik nustatyti stiprų slaptažodį, bet ir įjungti kelių veiksnių autentifikavimą. Idealiu atveju reikėtų įgalinti ir aparatūros pagrindu veikiantį kelių veiksnių autentifikavimą ( angl. hardware-based multi-factor authentication)[2].
Patikrinkite kiek laiko reikia programišiui, kad nulaužtų jūsų slaptažodį. Ar jis žalias?
Turėkite omenyje, kad lentelėje patekti slaptažodžio nulaužimo laikai yra orientaciniai. Realiai, slaptažodžio „atspėjimas“ gali įvykti ir greičiau.
Kiek laiko trunka programišiui nulaužti slaptažodį 2023
| Ženklų skaičius | Tik skaičiai | Mažosios raidės | Mažosios ir didžiosios raidės | Mažosios, didžiosios raidės ir skaičiai | Mažosios, didžiosios raidės, skaičiai ir simboliai |
|---|---|---|---|---|---|
| 4 | akimirksniu | akimirksniu | akimirksniu | akimirksniu | akimirksniu |
| 5 | akimirksniu | akimirksniu | akimirksniu | akimirksniu | akimirksniu |
| 6 | akimirksniu | akimirksniu | akimirksniu | akimirksniu | akimirksniu |
| 7 | akimirksniu | akimirksniu | 1 sek. | 2 sek. | 4 sek. |
| 8 | akimirksniu | akimirksniu | 28 sek. | 2 min. | 5 min. |
| 9 | akimirksniu | 3 sek. | 24 min. | 2 val. | 6 val. |
| 10 | akimirksniu | 1 min. | 21 val. | 5 d. | 2 sav. |
| 11 | akimirksniu | 32 min. | 1 mėn. | 10 mėn. | 3 metai |
| 12 | 1 sek. | 14 val. | 6 metai | 53 metai | 226 metai |
| 13 | 5 sek. | 2 sav. | 332 metai | 3 tūkst. metų | 15 tūkst. metų |
| 14 | 52 sek | 1 metai | 17 tūkst. metų | 202 tūkst. metų | 1 mln. metų |
| 15 | 9 min. | 27 metai | 898 tūkst. metų | 12 mln. metų | 77 mln. metų |
| 16 | 1 val. | 713 metų | 46 mln. metų | 779 mln. metų | 5 mlrd. metų |
| 17 | 14 val. | 18 tūkst. metų | 2 mlrd. metų | 48 mlrd. metų | 380 mlrd. metų |
| 18 | 6 d. | 481 tūkst. metų | 126 mlrd. metų | 2 tril. metų | 26 tril. metų |
Slaptažodžių stiprumą pagal spalvas lentelėje aš klasifikuočiau taip:
- tragiškas (tuojau pat imkite įrenginį ir keiskite slaptažodį);
- prastas (kai tik grįšite namo — tuojau pat jį pakeiskite);
- vidutiniškas (nenaudokite svarbioms ir su finansais susijusioms paslaugoms. Slaptažodį keiskite kas pora mėnesių);
- geras slaptažodis;
- puikus slaptažodis;
Jei tik yra galimybė, net jei jūsų slaptažodis ir „žalias“ — naudokite papildomas dviejų žingsnių ar kelių veiksnių autentikacijos priemones bei periodiškai jį keiskite, ir nenaudokite to paties slaptažodžio kelioms paslaugoms.
-
GPU (ang. Graphics Processing Unit) arba grafikos procesorius puikiai apdoroja matematinius skaičiavimus. Grafikos atvaizdavimas yra tiesiog sudėtingų matematinių skaičiavimų serija. Taip pat ir maišos algoritmai.
GPU turi šimtus branduolių, kurie gali būti naudojami lygiagrečiai skaičiuojant matematines funkcijas. CPU įprastai turi 4-8 branduolius. Nors procesoriaus branduolys yra daug greitesnis nei GPU branduolys, slaptažodžio maiša yra viena iš funkcijų, kurią labai lengvai galima atlikti lygiagrečiai. Tai suteikia GPU didžiulį pranašumą nulaužant slaptažodžius.↩︎ -
Aparatūros pagrindu veikiantis kelių veiksnių autentifikavimas (hardware-based multi-factor authentication) - yra apsaugos metodas, kai prie standartinio slaptažodžio naudojama ir kita aparatinė įranga (slaptažodžių generatorius, specialus USB raktas ir panašiai), prie kurios reikalinga fizinė prieiga norint prisijungti prie paskyros. Naudojant šias priemones, net jei programišius ir nulaužė slaptažodį — juo pasinaudoti prisijungimui prie paskyros jis negalės jei neturės fizinio priėjimo naudojamo papildomo autentikacijos rakto. ↩︎
