Vaše komplexní heslo do Windows prolomíme za pár dnů

Na konferenci  Password^12, která se konala 3. prosince 2012, předvedl Jeremy M. Gosney svůj cluster, který dokáže prolomit 9znakové komplexní heslo do Windows během 10 dnů.

Jeremy svůj cluster postavil z 5 serverů, které dohromady obsahují 18 výkonných grafických karet disponujících celkem 25 GPU. Na nich pak spustil multiplatformní program HashCat, jenž je volně ke stažení, a který může být běžet na více strojích zapojených v clusteru, a plně využít síly GPU grafických karet k lámání hashů.

Co říkáte na to, že 9znakové komplexní heslo lze prolomit do několika málo dnů?

Víte, vůbec mne to nepřekvapuje. Jak roste výpočetní výkon, tak nejen vláda nebo nadnárodní korporace, ale i menši firmy a jednotlivci si mohou za pár korun pořídit výkonný HW a lámat hesla rychlostí, která ještě před několika lety nebyla možná. A nemusí si kvůli tomu pořizovat ani nějaký HW, neboť mohou využít mnoha různých služeb, např. CloudCracker.

Je takový útok reálný?

Nejprve bychom se měli zamyslet nad tím, kolik pořízení takového clusteru stojí. Malý moment, pokusím se to spočítat, protože tato informace nebyla dosud nikde zveřejněna. (Po necelé minutě, pozn. redaktora) Snad se příliš nemýlím, když řeknu, že za necelého půl miliónu Kč lze postavit GPU cluster, kterým je možno lámat komplexní hesla uložená jako NTLM hash rychlostí 348 miliard hesel za sekundu.

Jaká hesla a jak rychle lze s takto výkonným clustrem lámat?

S takto výkonným clustrem lze 9znakové komplexní heslo do Windows prolomit přibližně za 10 dnů. Vzhledem k tomu, že zaměstnanci jsou ve většině firem povinni si měnit heslo za mnohem delší dobu, tak si dovedu představit, že by se někomu mohlo pořízení takového clusteru vyplatit. A nemusí ho používat ani pro sebe, může jen tuto službu za úplatu nabízet. Jsem přesvědčen, že by se našlo dost zájemců.

Prodloužení délky hesla asi není nejlepší nápad, že?

Přesně tak. V prostředí velké firmy lze heslo obvykle snadno odpozorovat, apod. Pokud chcete bezpečnost zvýšit, řešením zcela určitě nebude častější změna hesla nebo prodloužení jeho minimální délky, nýbrž zavedení dvoufaktorové single sign-on autentizace. Vaši zaměstnanci to jistě ocení, neboť přístup k USB tokenu stačí chránit pomocí snadno zapamatovatelného PINu, který není v podstatě ani nutné měnit, nebo tak jednou za uherský rok. A desítky dalších hesel, které si dosud museli pamatovat, mohou zapomenout.


Pokud vás tento příspěvek zaujal, sdílejte ho!
Share on FacebookShare on LinkedInTweet about this on TwitterShare on Google+Email this to someonePrint this page

Štítky: ,


K článku “Vaše komplexní heslo do Windows prolomíme za pár dnů” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: