Vídeo: Como criar Senhas FORTES e SEGURAS! (Novembro 2024)
Dificilmente passa uma semana sem notícias de uma violação de dados que expõe milhões ou bilhões de senhas. Na maioria dos casos, o que é realmente exposto é uma versão da senha executada por um algoritmo de hash, não a senha em si. O relatório mais recente da Trustwave mostra que o hash não ajuda quando os usuários criam senhas estúpidas, e esse tamanho é mais importante que a complexidade das senhas.
Os hackers quebram @ u8vRj & R3 * 4h antes de quebrar StatelyPlumpBuckMulligan ou ItWasTheBestOfTimes.
Hashing It Out
A idéia por trás do hash é que o site seguro nunca armazena a senha de um usuário. Em vez disso, ele armazena o resultado da execução da senha por meio de um algoritmo de hash. Hashing é um tipo de criptografia unidirecional. A mesma entrada sempre gera o mesmo resultado, mas não há como voltar do resultado para a senha original. Quando você faz login, o software do servidor faz o hash do que você digitou. Se corresponder ao hash salvo, você estará dentro.
O problema dessa abordagem é que os bandidos também têm acesso aos algoritmos de hash. Eles podem executar todas as combinações de caracteres para um determinado comprimento de senha através do algoritmo e comparar os resultados com uma lista de senhas roubadas com hash. Para cada hash que corresponder, eles decodificaram uma senha.
Ao longo de milhares de testes de penetração de rede em 2013 e no início de 2014, os pesquisadores da Trustwave coletaram mais de 600.000 senhas com hash. Executando código de quebra de hash em GPUs poderosas, eles quebraram mais da metade das senhas em minutos. O teste continuou por um mês, momento em que eles haviam rachado mais de 90% das amostras.
Senhas - você está fazendo errado
O senso comum afirma que uma senha contendo letras maiúsculas, minúsculas, dígitos e pontuação é difícil de decifrar. Acontece que isso não é inteiramente verdade. Sim, seria difícil para um malfeitor adivinhar uma senha como N ^ a e $ 1nG, mas, de acordo com a Trustwave, um invasor pode decifrá-la em menos de quatro dias. Por outro lado, quebrar uma senha longa como GoodLuckGuessingThisPassword exigiria quase 18 anos de processamento.
Muitos departamentos de TI exigem senhas de pelo menos oito caracteres, contendo letras maiúsculas, minúsculas e dígitos. O relatório aponta que, infelizmente, "Senha1" atende a esses requisitos. Não por acaso, a Senha1 foi a senha única mais comum na coleção em estudo.
Os pesquisadores da TrustWave também descobriram que os usuários farão exatamente o que precisam, nada mais. Ao dividir sua coleção de senhas, descobriram que quase a metade tinha exatamente oito caracteres.
Faça-os Long
Já dissemos isso antes, mas vale a pena repetir. Quanto maior a sua senha (ou senha), mais difícil é a invasão dos hackers. Digite uma frase ou frase favorita, omitindo espaços, e você terá uma frase-senha decente.
Sim, existem outros tipos de ataques de cracking. Em vez de misturar todas as combinações de caracteres, um ataque de dicionário mistura combinações de palavras conhecidas, restringindo significativamente o escopo da pesquisa. Mas com uma senha longa o suficiente, o crack com força bruta ainda levaria séculos.
O relatório completo divide e divide os dados de várias maneiras. Por exemplo, mais de 100.000 das senhas quebradas consistiam em seis letras minúsculas e dois dígitos, como monkey12. Se você gerencia políticas de senhas ou se está apenas interessado em criar senhas melhores para si mesmo, definitivamente vale a pena ler.