Pada bulan Maret, pembaca diikuti bersama sebagai Nate Anderson, Ars wakil editor dan newbie diri mengaku password cracking, download daftar lebih dari 16.000 passcode kriptografi hash. Dalam beberapa jam, ia memecahkan hampir setengah dari mereka. Moral dari cerita: jika seorang reporter dengan pelatihan nol dalam seni kuno password cracking dapat mencapai hasil tersebut, bayangkan apa yang bisa dilakukan penyerang lebih berpengalaman.
Bayangkan tidak lebih. Kami meminta tiga ahli retak untuk menyerang daftar yang sama Anderson ditargetkan dan menceritakan hasil dalam semua warna dan detil teknis Iron Chef gaya. Hasilnya, untuk sedikitnya, yang membuka mata karena mereka menunjukkan seberapa cepat bahkan password panjang dengan huruf, angka, dan simbol dapat ditemukan.
Daftar itu berisi 16.449 password diubah menjadi hash MD5 menggunakan fungsi hash kriptografi. Situs keamanan-sadar tidak pernah menyimpan password di plaintext. Sebaliknya, mereka bekerja hanya dengan yang disebut hash satu arah, yang tidak mampu yang matematis diubah kembali menjadi huruf, angka, dan simbol-simbol awalnya dipilih oleh pengguna. Dalam hal pelanggaran keamanan yang mengekspos data password, penyerang masih harus susah payah menebak plaintext untuk setiap contoh hash-untuk, mereka harus menebak bahwa "5f4dcc3b5aa765d61d8327deb882cf99" dan "7c6a180b36896a0a8c02787eeafb0e4c" adalah MD5 hash untuk "password" dan "password1 "masing-masing. (Untuk rincian lebih lanjut tentang sandi hashing, lihat sebelumnya fitur Ars "Kenapa password tidak pernah lemah-dan kerupuk tidak pernah kuat.")
Sementara 47 persen tingkat keberhasilan Anderson adalah mengesankan, itu sangat kecil jika dibandingkan dengan apa yang bisa dilakukan kerupuk nyata, seperti Anderson sendiri dibuat jelas. Untuk membuktikan hal tersebut, kami memberi mereka daftar yang sama dan mengawasi bahu mereka ketika mereka merobeknya sampai hancur. Untuk membuatnya lebih sedikit, mereka tidak mengecewakan. Bahkan cracker berhasil setidaknya dari trio-yang kami digunakan paling sedikit keras, dikhususkan hanya satu jam, menggunakan daftar kata kecil, dan melakukan wawancara selama proses-mampu menguraikan 62 persen dari password. Cracker atas kami tersangkut 90 persen dari mereka.
Tim sandi Ars termasuk pengembang cracking software, konsultan keamanan, dan cracker anonim. Yang paling menyeluruh dari tiga retakan dilakukan oleh Jeremi Gosney, seorang ahli password dengan Striktur Consulting Group. Menggunakan komputer komoditas dengan AMD Radeon kartu grafis tunggal 7970, itu membawanya 20 jam untuk memecahkan 14.734 dari hash, tingkat keberhasilan 90 persen. Jens Steube, pemimpin pengembang di balik oclHashcat-plus, mencapai hasil yang mengesankan juga. (oclHashcat-plus tersedia secara bebas-password cracking software baik Anderson dan semua kerupuk dalam artikel ini digunakan.) Steube unscrambled 13.486 hash (82 persen) dalam sedikit lebih dari satu jam, dengan menggunakan mesin sedikit lebih kuat yang berisi dua AMD Radeon 6990 kartu grafis. Seorang cracker ketiga yang pergi dengan radix moniker diuraikan 62 persen dari hash menggunakan komputer dengan satu 7970 kartu-juga dalam waktu sekitar satu jam. Dan dia mungkin akan retak lebih yang dia tidak dibumbui dengan pertanyaan sepanjang latihan.
Daftar "dataran," karena banyak kerupuk merujuk hash diuraikan, berisi daftar biasa passcode yang umum digunakan yang ditemukan di hampir setiap pelanggaran yang melibatkan situs konsumen. "123456", "1234567," dan "password" yang ada, seperti "letmein," "Destiny21," dan "pizzapizza." Password sejenisnya ini putus asa lemah. Meskipun tweaking tambahan, "p @ $$ kata," "123456789j," "letmein1 !," dan "LETMEin3" sama-sama mengerikan. Tapi ditaburi antara passcode berlebihan dan mudah retak dalam daftar bocor beberapa yang banyak pembaca mungkin menganggap relatif aman. ": LOL1313le" di sana, seperti "Coneyisland9 /," "momof3g8kids," "1368555av," "n3xtb1gth1ng," "qeadzcwrsfxv1331," "m27bufford," "J21.redskin," "Garrett1993 *," dan "Oscar + emmy2. "
Sebuah screenshot menunjukkan contoh kecil dari password retak.
Sebagai besar sebagai kata daftar yang ketiga kerupuk dalam artikel ini memegang-dekat 1 miliar yang kuat dalam kasus Gosney dan Steube-tidak satupun dari mereka yang terkandung "Coneyisland9 /," "momof3g8kids," atau lebih dari 10.000 dataran lain yang mengungkapkan dengan hanya beberapa jam usaha. Jadi bagaimana mereka melakukannya? Jawaban singkat bermuara pada dua variabel: penggunaan disayangkan dan tidak bertanggung jawab website dari MD5 dan penggunaan password non-acak oleh pemegang rekening.
Kehidupan di jalur cepat
"Ini adalah password yang mengerikan," radix, yang menolak untuk memberikan nama aslinya, mengatakan Ars hanya beberapa menit ke menjalankan salah satu sesi selama satu jam retak nya. "Ada mungkin bukan persyaratan kompleksitas bagi mereka. Hashing sendirian menjadi MD5 memberitahu saya bahwa mereka benar-benar tidak peduli tentang password mereka terlalu banyak, jadi mungkin beberapa situs pra-yang dihasilkan."
Seperti SHA1, SHA3, dan kebanyakan algoritma lain, MD5 dirancang untuk mengkonversi plaintext menjadi hash, juga dikenal sebagai "mencerna pesan," cepat dan dengan jumlah minimal perhitungan. Yang bekerja dalam mendukung kerupuk. Berbekal prosesor grafis tunggal, mereka dapat siklus melalui lebih dari delapan miliar kombinasi password setiap detik ketika menyerang "cepat" hash. Sebaliknya, algoritma khusus dirancang untuk melindungi password memerlukan signifikan lebih banyak waktu dan perhitungan. Misalnya, fungsi SHA512crypt disertakan secara default di Mac OS X dan sebagian besar sistem operasi berbasis Unix lewat teks melalui 5.000 iterasi hashing. Rintangan ini akan membatasi sistem retak satu-GPU yang sama untuk sedikit kurang dari 2.000 tebakan per detik. Contoh lainnya sama "lambat" hashing algoritma termasuk bcrypt, scrypt, dan PBKDF2.
Variabel lain adalah keputusan pemegang rekening 'menggunakan kata-kata kenangan. Karakteristik yang membuat "momof3g8kids" dan "Oscar + emmy2" mudah diingat adalah justru hal-hal yang memungkinkan mereka untuk retak. Mereka dasar komponen-"ibu," "anak-anak," "oscar," "emmy," dan nomor-adalah bagian inti dari daftar password cracking bahkan dasar. Meningkatnya daya hardware dan software khusus membuatnya sepele untuk kerupuk untuk menggabungkan bahan-bahan ini dalam harfiah miliaran permutasi sedikit berbeda. Kecuali pengguna membutuhkan perhatian besar, password yang mudah diingat duduk bebek di tangan kerupuk.
Terlebih lagi, seperti dua kerupuk lainnya diprofilkan dalam artikel ini, radix tidak tahu di mana daftar kata sandi diambil dari, menghilangkan salah satu teknik kunci kerupuk digunakan saat mengartikan hash bocor. "Jika saya tahu situs, saya akan pergi ke sana dan mencari tahu apa persyaratan," katanya. Informasi yang akan memungkinkan radix untuk kerajinan set aturan kustom ditargetkan pada hash tertentu ia berusaha untuk memecahkan.
Tidak ada komentar:
Posting Komentar