Parolarea parolelor

De la Wikipedia, enciclopedia liberă.
Salt la navigare Salt la căutare

Cracarea parolelor este un proces de recuperare a parolei utilizat în criptoanaliză și securitate cibernetică , prin utilizarea informațiilor care au fost stocate sau transmise de un sistem informatic . O abordare comună ( metoda forței brute sau atacul forței brute) este de a încerca toate combinațiile posibile de caractere și de a le compara cu un hash criptografic al parolei. [1]

Scopul cracării parolelor ar putea fi de a ajuta un utilizator să recupereze o parolă uitată, să obțină acces neautorizat la un sistem sau ca măsură preventivă de către un administrator de sistem pentru a evalua parolele ușor de cracat. În alte situații, spargerea unei parole este utilizată pentru a obține acces la dovezi digitale, pentru care un judecător a permis accesul, dar accesul la fișierele în sine este restricționat.

Timpul necesar pentru a căuta parola

Timpul pentru a sparge o parolă depinde de puterea parolei, care este o măsură a entropiei informațiilor conținute în parolă, împreună cu detalii despre modul în care este stocată parola. Majoritatea metodelor de cracare a parolelor necesită ca un computer să producă mai mulți candidați la parolă, fiecare dintre acestea fiind verificat. Un exemplu este metoda forței brute , în care un computer încearcă fiecare cheie sau parolă posibilă până când căutarea are succes. Alte metode obișnuite, cum ar fi atacurile de dicționar , încearcă să reducă numărul de teste necesare și sunt adesea utilizate înainte de metoda forței brute. O parolă cu complexitate de biți mai mare crește exponențial numărul de parole candidate care trebuie verificate, în medie, pentru a recupera parola; reduce probabilitatea ca parola să fie găsită în orice dicționar de cracking. [2]

Capacitatea de a sparge parolele folosind programe pentru computer este, de asemenea, o funcție a numărului de parole posibile pe secundă care pot fi verificate. Dacă un hash al parolei țintă este disponibil pentru atacator, acest număr poate fi destul de mare. Dacă nu este disponibilă, numărul de parole care pot fi verificate pe secundă depinde de mai mulți factori:

  • software de autentificare care limitează numărul de încercări de parolă
  • timpul de așteptare între introducerea unei parole și următoarea
  • prezența CAPTCHA
  • blocarea forțată a conexiunii după un anumit număr de încercări nereușite.

O situație în care parola poate fi ghicită rapid este atunci când parola este utilizată pentru a forma o cheie criptografică . În aceste cazuri, atacatorul poate afla rapid dacă o anumită parolă decriptează cu succes datele criptate.

Pentru unele tipuri de hashuri de parole, un computer desktop clasic poate testa peste o sută de milioane de parole pe secundă folosind instrumente de cracare a parolelor rulate printr-un procesor și miliarde de parole pe secundă folosind instrumente bazate pe GPU [3] [4] [5] . Numărul de parole verificate depinde puternic de funcția criptografică utilizată de sistem pentru a genera hashurile pentru parole. O funcție de hash de parolă adecvată, cum ar fi asbcrypt, este mai bună cu câteva ordine de mărime decât o funcție simplă, cum ar fi MD5 sau SHA .

O parolă cu 8 caractere aleasă de utilizator și compusă din numere, caractere majuscule și minuscule și simboluri, cu excepția celor mai des alese parole și alte potriviri de dicționar, atinge o complexitate de 30 de biți, conform NIST. 2 30 este doar 1 miliard de permutări [6] și parola ar fi spartă în câteva secunde dacă funcția hash ar fi simplă. Când mai multe computere obișnuite sunt combinate pentru a sparge parolele, așa cum se poate face cu botnet-urile, capacitatea de crack crește considerabil. În 2002, distribuit.net a găsit o parolă RC5 pe 64 de biți în 4 ani, prin efortul comun a mai mult de 300.000 de computere diferite în același timp, care a generat în medie aproximativ 12 milioane de parole pe secundă [7] .

Unitățile de procesare grafică (GPU-uri) pot accelera cracarea parolelor cu un factor cuprins între 50 și 100 de ori comparativ cu procesoarele. În 2011, produsele disponibile în comerț au susținut că pot testa până la 2 800 000 000 de parole pe secundă pe un computer obișnuit folosind procesoare grafice de ultimă generație [8] . Astfel de dispozitive pot sparge parole de 10 litere (numai cu majuscule sau numai cu litere mici) într-o singură zi. De asemenea, este posibil să distribuiți volumul de lucru pe mai multe computere pentru o accelerare suplimentară, proporțional cu numărul de computere disponibile cu GPU-uri comparabile.

În ciuda capacităților lor, procesoarele normale de desktop sunt mai lente la spargerea parolelor decât mașinile construite special pentru a sparge parolele. În 1998, Electronic Frontier Foundation (EFF) a construit o mașină dedicată de cracare a parolelor folosind ASIC-uri , spre deosebire de procesoarele obișnuite. Mașina lor, Deep Crack , a reușit să spargă o parolă DES de 56 de biți în 56 de ore, testând peste 90 de miliarde de parole pe secundă [9] . În 2010, Georgia Institute of Technology Research a dezvoltat o metodă de utilizare a GPGPU pentru a sparge parolele, concluzionând că lungimea minimă pentru o parolă sigură este de 12 caractere [10] . [11] [12]

Ușor de reținut, greu de ghicit

O parolă ușor de reținut este de obicei ușor de ghicit pentru atacator [13] . Parolele care sunt mai greu de reținut, în unele cazuri, reduc securitatea sistemului din următoarele motive:

  1. unul sau mai mulți utilizatori, incapabili să-și amintească parole complexe, să le scrie sau să le salveze folosind metode nesigure,
  2. utilizatorii vor avea nevoie de resetări frecvente ale parolelor
  3. utilizatorii sunt determinați să refolosească aceleași parole

În „Memorabilitatea și securitatea parolelor” [14] , Jeff Yan a examinat efectul sfaturilor oferite utilizatorilor pentru alegerea bună a parolei. Parolele bazate pe prima literă a unei fraze gândite s-au dovedit a fi la fel de ușor de reținut ca parolele alese special și la fel de dificil de spart ca parolele generate aleatoriu. Combinarea a două cuvinte fără legătură este o altă metodă bună; precum și cu un algoritm personal pentru a genera parole.

Solicitarea utilizatorilor să-și amintească o parolă formată din „un amestec de caractere majuscule și minuscule” este ca și cum ai cere să-și amintească o secvență de biți: greu de reținut și doar puțin mai greu de spart (de exemplu, doar de 128 de ori mai greu de spart folosind Parolă cu 7 caractere, minus dacă utilizatorul folosește doar o literă mare). Solicitarea utilizatorilor de a folosi „atât caractere, cât și numere” duce adesea la substituții ușor de ghicit, precum „E” → „3” și „I” → „1”, înlocuiri bine cunoscute de atacator. La fel, tastarea parolei folosind tastele plasate cu o linie deasupra este un truc obișnuit cunoscut de atacatori.

O cercetare detaliată a unei lucrări din aprilie 2015, scrisă de mai mulți profesori de la Universitatea Carnegie Mellon , arată că alegerile oamenilor cu privire la structura parolelor urmează adesea tipare bine cunoscute. Ca urmare, parolele ar putea fi sparte mult mai ușor decât indică calculele matematice. Parolele care conțin un număr, de exemplu, îl plasează aproape întotdeauna la sfârșitul parolei [15] .

Accidente

La 16 iulie 1998, CERT a raportat un incident în care au fost furate 186.126 parole criptate. Până la descoperirea furtului, 47.642 fuseseră deja crăpate.

În decembrie 2009, pe site-ul Rockyou.com a avut loc o încălcare gravă, care a dus la distribuirea a 32 de milioane de parole. Autorii atacului au scos apoi lista completă de 32 de milioane de parole (fără alte informații despre identități) pe internet. Parolele au fost stocate în text clar în baza de date și au fost extrase printr-o vulnerabilitate SQL Injection. Centrul de apărare a aplicațiilor Imperva (ADC) a analizat puterea parolelor [16] .

În iunie 2011, securitatea NATO a fost încălcată și numele, prenumele, numele de utilizator și parolele a peste 11.000 de utilizatori înregistrați ai bibliotecii lor electronice au fost publicate public. Informațiile au fost furate ca parte a Operațiunii AntiSec , o mișcare care include Anonymous , LulzSec și alte grupuri de hacking [17] .

La 11 iulie 2011, serverele lui Booz Allen Hamilton, o importantă firmă americană de consultanță care lucrează pentru Pentagon, au fost piratate de Anonymous, iar informațiile au fost difuzate în aceeași zi. Informațiile divulgate includeau 90.000 de date de conectare ale personalului militar - inclusiv personal de la USCENTCOM, SOCOM , Marines , Forțele Aeriene , personalul statului și altele [18] .

La 18 iulie 2011, Microsoft Hotmail a interzis parola: „123456” [19] .

Prevenirea

Cel mai bun mod de a preveni spargerea unei parole este să vă asigurați că oricine încearcă să ne atace nu poate avea acces nici măcar la parole criptate. De exemplu, în sistemele de operare Unix , parolele criptate au fost inițial stocate într-un fișier /etc/passwd acces public. Cu toate acestea, pe sistemele Unix moderne, aceste parole sunt stocate în /etc/shadow , care este accesibil doar de programele cu privilegii mai mari. Acest lucru face mai dificil pentru un atacator să obțină parole criptate. Din păcate, multe protocoale de rețea transmit parole în text clar sau folosind o securitate slabă [20] [21] .

Sistemele moderne Unix au înlocuit funcțiile criptografice tradiționale ale parolelor bazate pe DES cu metode mai complexe, cum ar fi bcrypt și scrypt [22] . Alte sisteme au început, de asemenea, să adopte aceste metode, de exemplu, Cisco IOS a folosit inițial un cifru Vigenère reversibil pentru a cripta parolele, în timp ce acum folosește criptarea bazată pe criptă md5. Aceste noi metode folosesc valori mai mari de sare , care fac atacurile online împotriva mai multor conturi în același timp mai dificile. Algoritmii sunt mult mai lent de executat și acest lucru mărește drastic timpul necesar implementării cu succes a unui atac offline [23] .

Multe metode de criptare utilizate pentru stocarea parolelor s-au născut pentru un calcul rapid și o implementare eficientă cu hardware; deci sunt ineficiente pentru a preveni cracarea parolei. Utilizarea algoritmilor pentru a prelungi parolele, cum ar fi PBKDF2, duce la criptare care reduce semnificativ numărul de parole care pot fi testate pe secundă.

Software

Există multe software-uri de cracare a parolelor, dar cele mai populare [24] sunt Cain & Abel , John the Ripper , Hashcat, Hydra, DaveGrohl și ElcomSoft. Multe pachete software de asistență medicală pentru computer includ, de asemenea, capacități de cracare a parolelor. Majoritatea acestor pachete folosesc un amestec de strategii de cracare , algoritmi de forță brută și atacuri de dicționar, dovedindu-se foarte eficiente.

Creșterea puterii de calcul a mașinilor, combinată cu prezența unui software automat de cracare a parolelor adecvat chiar și pentru începători pentru anumite tipuri de utilizare, a dus la nașterea așa-numitului script kiddie . [25]

Notă

  1. ^ Brute-Force Password Cracker , pe www.oxid.it. Adus la 12 martie 2016 (arhivat din original la 2 martie 2016) .
  2. ^ SleuthSayers: PIN-uri și parole, Partea 2 , la www.sleuthsayers.org . Adus pe 12 martie 2016 .
  3. ^ The Bug Charmer: Cât timp ar trebui să fie parolele? , pe bugcharmer.blogspot.it . Adus la 12 martie 2016 (arhivat din original la 13 martie 2016) .
  4. ^ BitWeasil, Blog Cryptohaze: 154 miliarde NTLM / sec pe 10 hash-uri , la blog.cryptohaze.com . Adus pe 12 martie 2016 .
  5. ^ oclHashcat-lite - recuperare avansată a parolei , pe hashcat.net . Adus la 12 martie 2016 (Arhivat din original la 26 iunie 2016) .
  6. ^ NIST ( PDF ), pe csrc.nist.gov , 27 martie 2008.
  7. ^ stats.distributed.net - RC5-64 Statistici generale ale proiectului , pe stats.distributed.net . Adus la 12 martie 2016 (arhivat din original la 18 mai 2019) .
  8. ^ O suită completă de instrumente de recuperare a parolei ElcomSoft , la www.elcomsoft.com . Adus la 12 martie 2016 (arhivat din original la 13 martie 2016) .
  9. ^ Comunicat de presă EFF DES Cracker, 17 iulie 1998 , la w2.eff.org . Adus la 12 martie 2016 (Arhivat din original la 22 iulie 2012) .
  10. ^ Rise of the Programmable GPU - And the Death of the Modern Password , pe techdrawl.com , 21 februarie 2011. Accesat pe 12 martie 2016 (arhivat din original pe 21 februarie 2011) .
  11. ^ Vrei să descurajezi hackerii? Faceți parola mai lungă , pe msnbc.com . Adus pe 12 martie 2016 .
  12. ^ Probleme Teraflop: Puterea unităților de procesare a graficii poate amenința sistemul de securitate al parolei din lume | Georgia Tech Research Institute , la www.gtri.gatech.edu . Adus pe 12 martie 2016 .
  13. ^ Ashlee Vance, Parolele simple rămân populare, în ciuda riscului de piratare , în The New York Times , 20 ianuarie 2010. Accesat la 13 martie 2016 .
  14. ^ J. Yan, A. Blackwell și R. Anderson, Memorabilitatea și securitatea parolei: rezultate empirice [ link rupt ] , în IEEE Security Privacy , vol. 2, nr. 5, 1 septembrie 2004, pp. 25–31, DOI : 10.1109 / MSP.2004.81 . Adus la 13 martie 2016 .
  15. ^ Noua tehnologie creează parole „puternice” - Ce trebuie să știți , pe Forbes . Adus la 13 martie 2016 .
  16. ^ http://www.imperva.com/docs/WP_Consumer_Password_Worst_Practices.pdf
  17. ^ Site-ul NATO piratat , la theregister.co.uk . Adus pe 14 martie 2016 .
  18. ^ Sam Biddle, Anonymous a scăpat de 90.000 de conturi de e-mail militare în ultimul atac #AntiSec , pe Gizmodo . Adus pe 14 martie 2016 .
  19. ^ Imperva, Hotmail Bans 123456 de la Microsoft , pe blog.imperva.com (arhivat din original la 27 martie 2012) .
  20. ^ Abe Singer, fără parole cu text simplu .
  21. ^ Criptografie: criptanaliza protocolului de tunelare punct la punct Microsoft (PPTP) - Schneier on Security , la www.schneier.com . Adus la 20 martie 2016 (Arhivat din original la 1 aprilie 2016) .
  22. ^ Programul tehnic USENIX - Rezumat - USENIX 99 , la www.usenix.org . Adus la 20 martie 2016 .
  23. ^ USENIX | Asociația Advanced Computing Systems ( PDF ), la www.usenix.org . Adus la 20 martie 2016 .
  24. ^ Auditarea parolei - SecTools Top Network Security Tools , la sectools.org . Adus la 24 aprilie 2016 .
  25. ^ Cum am devenit un cracker de parole , pe Ars Technica . Adus la 24 aprilie 2016 (Arhivat din original la 8 iulie 2017) .

Elemente conexe

Securitate IT Portal de securitate cibernetică : Accesați intrările Wikipedia care se ocupă de securitatea cibernetică
Adus de la „ https://it.wikipedia.org/w/index.php?title=Password_cracking&oldid=122258045