Prečo by sme sa mali báť o svoje heslá?
Žijeme v dobe, keď neraz jedinou ochranou pre naše súkromné informácie sú heslá. Pri pohľade na dnešnú situáciu sú však obavy o naše heslá logické - crackovanie hesiel urobilo za posledných 5 rokov väčší pokrok ako za celé predchádzajúce desaťročia.
Je to dané aj stále výkonnejším hardvérom. Grafické karty značne napomáhajú a urýchľujú crackovanie hesiel - počítač s grafikou AMD Radeon HD7970 dokáže v priemere každú sekundu vytvoriť 8,2 miliardy rôznych kombinácií hesiel v závislosti od ich zložitosti. Pred pár desaťročiami bola takáto rýchlosť možná iba pomocou superpočítačov. Ak sa použijú dve takéto karty, rýchlosť sa, samozrejme, zvyšuje. V kombinácii s voľne dostupnými programami na crackovanie hesiel a rôznymi komunitami, ktoré zdieľajú svoje vedomosti na diskusných fórach, je tajomstvo hesiel prístupné takmer pre každého.
Ďalší problém je spôsob, ako sa používatelia správajú. Bežný používateľ internetu má 25 rôznych používateľských kont a na ich zabezpečenie využíva v priemere 6,5 hesla. Kombinácia rovnakého e-mailu, resp. prihlasovacieho mena a hesla tak umožňuje útočníkom pomerne rýchlo získať kontrolu aj nad ostatnými účtami - nie je to pravidlo, riziko tu však vždy je a niektoré prípady získania prístupu k heslám z minulosti tento trend potvrdili. Mimochodom, za posledných pár rokov uniklo na internet viac ako 100 miliónov fungujúcich hesiel a zoznam sa neustále zväčšuje. Podľa Ricka Redmana zo spoločnosti KoreLogic nebolo možné pred 4 -5 rokmi cracknúť 16-miestne heslo, dnes je to však vďaka kombinácii výpočtového výkonu, vhodného slovníka a dobre naprogramovaného softvéru možné.
Pokiaľ dôjde k úniku hesiel, takmer vždy ide o zašifrované heslá. Prelomenie zabezpečenia však už dnes nepredstavuje až taký problém ako kedysi. Potvrdzuje to aj fakt, že 90 % hesiel zo zašifrovanej databázy sociálnej siete LinkedIn sa podarilo úspešne dešifrovať. Prelomenie šifrovaných hesiel značne uľahčuje aj databáza 14 miliónov najčastejšie používaných hesiel, ktorá koluje internetom. V prípade zložitejších hesiel využívajú útočníci rôzne techniky - okrem „brutálneho" využitia výpočtovej sily používajú niektoré techniky aj rôzne pravidlá, ako je napr. zadefinovanie slovníka krstných mien v kombinácii s rokmi narodenia atď.
O svoje heslá by sme sa mali báť aj preto, že mnohé algoritmy kontrolného súčtu neboli vytvorené, aby poskytli perfektnú ochranu heslám. Či už SHA1, DES, alebo MD5, tieto algoritmy boli vytvorené na rýchle zašifrovanie s využitím minima výpočtového výkonu. Spomenuté heslá na sociálnej sieti LinkedIn boli šifrované pomocou algoritmu SHA1 a 90 % z nich sa podarilo dešifrovať počas 6 dní - pätinu najjednoduchších hesiel dokonca v priebehu 30 sekúnd.
Na druhej strane, hoci výpočtový výkon neustále rastie, aj použitie „brutálnej" sily má svoje hranice. Pokiaľ chcú napríklad útočníci cracknúť 7-miestne heslo, ktoré by mohlo pozostávať z kombinácie všetkých 95 písmen, čísel a symbolov dostupných na bežnej klávesnici, trvalo by to viac ako 10 dní. Pritom 5-miestne heslo s totožnými kombináciami možno cracknúť za niekoľko hodín a 6-miestne heslo za jeden deň.
Bez ohľadu na to, že útočníci majú neustále silnejšie zbrane na crackovanie hesiel, rady používateľom ostávajú rovnaké - používajte dlhé, unikátne heslá, ktoré kombinujú malé a veľké písmená, znaky a čísla. Pokiaľ sa dá, majte pre každé používateľské konto unikátne heslo.
Zdroj: http://arstechnica.com
