Prolamování hesel se stává reálným nebezpečím

Roman Kadlec | 29.08.2012 | Bezpečnost | 3 komentáře

Žijeme v době, kdy jsou hesla často jedinou ochranou pro obchodní či soukromé informace. Při pohledu na dnešní situaci jsou ale obavy o bezpečnost hesel logické – prolamování (crackování) hesel totiž udělalo za posledních pět let větší pokrok než za celé předchozí desetiletí.

Prolomení hesla už není problém

Je to dáno i stále výkonnějším hardwarem. Grafické karty s výkonnými GPU, které lze využít i pro běžné výpočetní operace, značně napomáhají a urychlují prolamování hesel. Počítač s běžně dostupnou grafickou kartou AMD Radeon HD7970 dokáže v průměru každou sekundu vytvořit 8,2 miliardy různých kombinací hesel v závislosti na jejich složitosti. Před pár desetiletími byla taková rychlost možná pouze pomocí superpočítačů. S větším počtem takových grafických karet pak rychlost logicky roste. V kombinaci s volně dostupnými programy na prolamování hesel a s různými crackerskými komunitami, které sdílejí své znalosti na diskusních fórech, je tajemství hesel přístupné téměř pro každého.

Dalším problémem je způsob, jak se uživatelé vůbec chovají. Běžný uživatel internetu má 25 různých uživatelských účtů a na jejich zajištění využívá v průměru 6,5 hesla. Kombinace stejného e-mailu, resp. přihlašovacího jména a hesla tak umožňuje útočníkům poměrně rychle získat kontrolu i nad ostatními účty – není to sice pravidlo, riziko zde ale vždy je a některé případy z minulosti spojené se získáním přístupů k heslům tento trend potvrdily. Mimochodem za posledních pár let uniklo na internet více než 100 milionů fungujících hesel a tento seznam se neustále zvětšuje. Podle Ricka Redmana ze společnosti KoreLogic nebylo ještě před nějakými čtyřmi či pěti lety prakticky možné prolomit 16-místné heslo, dnes je to však díky kombinaci výpočetního výkonu, vhodného slovníku a dobře naprogramovaného softwaru poměrně reálné.

Pokud dojde k úniku hesel, téměř vždy jde o zašifrována hesla. Prolomení tohoto zabezpečení však už dnes také nepředstavuje až takový problém jako kdysi. Potvrzuje to i fakt, že 90 % hesel ze zašifrované databáze sociální sítě LinkedIn se povedlo úspěšně dešifrovat. Prolomení šifrovaných hesel značně usnadňuje i databáze 14 milionů nejčastěji používaných hesel, která koluje internetem. Zde jsou ovšem ve značné nevýhodě anglicky hovořící uživatelé a typická „česká“ hesla jsou určitou výhodou. V případě složitějších hesel využívají útočníci různé techniky – kromě „brutálního“ využití výpočetní síly používají i různá pravidla, jako je např. nadefinování slovníku křestních jmen v kombinaci s roky narození atd.

Šifrovací algoritmy hesla neochrání

O svá hesla bychom se měli bát i proto, že mnohé algoritmy kontrolního součtu nebyly vytvořeny proto, aby poskytly perfektní ochranu heslům. Ať už SHA1, DES, nebo MD5, tyto algoritmy byly vyvinuty primárně pro rychlé zašifrování s využitím minima výpočetního výkonu. Zmíněná hesla na sociální síti LinkedIn byla zašifrovány pomocí algoritmu SHA1 a 90 % z nich se podařilo dešifrovat během šesti dní. Pětinu nejjednodušších hesel se pak povedlo odhalit dokonce v průběhu 30 sekund.

Na druhou stranu, přestože výpočetní výkon neustále roste, i použití „hrubé“ síly má své hranice. Pokud chtějí například útočníci prolomit sedmimístné heslo, které by mohlo sestávat z kombinace všech 95 písmen, čísel a symbolů dostupných na běžné klávesnici, trvalo by to i při dostupném výkonu více než 10 dní. Přitom pětimístné heslo s totožnými kombinacemi lze cracknout za několik hodin a šestimístné heslo za jeden den. Délka hesla je tedy stále rozhodující pro jeho bezpečnost.

Bez ohledu na to, že útočníci mají neustále silnější zbraně na lámání hesel, rady uživatelům zůstávají stejné – používejte dlouhá, unikátní hesla, které kombinují malá a velká písmena, znaky a čísla. Pokud je to možné, mějte pro každý uživatelský účet unikátní heslo. Určitým řešením je také využití dvoufaktorové autorizace, která je sice u uživatelů často nepopulární díky větší náročnosti při přihlašování, ale nabízí opravdu výrazné zvýšení bezpečnosti. Nedávno ji mimochodem zavedla i populární služba pro sdílení dokumentů Dropbox.

Zdroj: IT News.sk

3 komentáře u článku “Prolamování hesel se stává reálným nebezpečím”

  1. Petr Kobelka napsal:

    Osobně si sice hodně hesel, která používám, pamatuji. Mám ale i program KeyPass, který tato hesla chrání a pamatuje si je za mě. Práce s ním je jednoduchá a mohlo by to být řešení pro líné uživatele, kteří si nechtějí pamatovat bezpečná hesla

  2. František Panáček napsal:

    Jsem asi nadprůměrný uživatel internetu, neb mám podstatně více jak zmiňovaných 25 účtů. I já si spousty hesel pamatuji, ale pro klid duše používám prográmek na správu hesel Sticky Password. Je spolehlivý a tedy doporučuji.

  3. Jindra Svoboda napsal:

    Na mých 250+ účtů potřebuji správce hesel. Ke každému mám unikátní silné heslo, čili není možné si pamatovat tato hesla a ukládat je v prohlížečích není bezpečné. Proto používám jako tady Franta program Sticky Password.

Zanechte komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *


sedm − = dva

Můžete používat následující HTML značky a atributy: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Copyright © ICT manažer | ISSN 1805-5486 | SEO optimalizace a přizpůsobení SEO-care.cz