10 listopada 2016
Do stu razy sztuka?
100. Tyle prób złamania naszego hasła – według National Institute for Standards and Technology, amerykańskiego odpowiednika naszego Głównego Urzędu Miar – może podjąć cyberprzestępca w okresie 30 dni, zanim usługodawca będzie miał obowiązek zablokować do momentu wyjaśnienia dostęp do naszego konta. Czy oznacza to, że bruteforce'ujący są bez szans? Niekoniecznie.
Jak myślicie, w ilu próbach przed bruteforcerem poległoby Wasze hasło? Według badań naukowców z Uniwersytetów w Pekinie i Fujian oraz z brytyjskiego Lancaster University, wystarczy, by atakujący znał niewielką ilość naszych tzw. PII (Personally Identifiable Informations, osobiste informacje identyfikujące), jak np. imię i datę urodzenia, by szansa na odgadnięcie klucza do naszego cyfrowego "ja" wyraźnie wzrosła. Jak wyraźnie? Przy 100 próbach prawdopodobieństwo trafienia wyniosło 20%, zaś jeśli atakujący mógł podjąć milion prób, miał 50 procent szans, że któraś z nich zakończy się sukcesem!
Używane przez badaczy rozwiązanie TarGuess w wersjach III i IV korzysta także z tzw. siostrzanych haseł, próbując odgadnąć hasło danego użytkownika na bazie haseł przyporządkowanych do tego samego adresu, odkrytych przy innych wyciekach. Jak myślicie, jak bardzo wzrosło prawdopodobieństwo trafienia przy zaledwie 100 próbach? Do 73 procent!
Co zatem zrobić, by uniknąć złamania hasła w opisywany powyżej sposób?
nie używać PII do budowania haseł
nie dublować haseł przynajmniej w przypadku serwisów, gdzie przechowujemy dane wyjątkowo wrażliwe
To naprawdę proste i wiele nie wymaga.
