Комментарии 16
Пароль из 27 символов: как сегодня защищать себя и свою компанию?
Да, да и ещё раз да. DYB3T-F2QYQ-9CRXR-DBC4V-CC4YG
Как тут не вспомнить недавнюю новость о том, что 8 видеокарт RTX 4090 могут взломать почти любой 8-мизначный пароль всего за 39 минут! Пятизначный пароль можно подобрать еще быстрее — всего за 24 секунды. Наша рекомендация — устанавливать пароль минимум в 27 символов.
Или я тупой? Объясните. Как это сделать за 24сек/39мин? Надо же еще проверить подошло ли. Ввести в браузер, в аппликацию. Какие 39мин? А там обычная блокировка после нескольких неудачных попыток. ОК, значит пытают утекшую базу данных. Так ее еще спи@дить надо сначала. Далее, когда/у кого, вы в последний раз видели базу с паролями открытым текстом? Если такая и найдется, то эта контора ССЗБ и вообще не заслуживает, чтобы она существовала. Где я не прав? Обоснуйте.
Меня больше удивляет безосновательная рекомендация увеличить пароль на 19 символов. Такое чувство что у них по офису бегает какой-то хомяк и каким-то образом выбирает случайные цифры, которые они потом складывают в числа и используют там где "подойдёт".
Речь о подборе пароля имея на руках хеш.
Не обижайтесь, но вы, по-видимому, действительно профан. Вы путаете 2 разные тактики -- подбор пароля в реальной системе (brute force, password spraying и другие подобные техники) и взлом пароля по имеющемуся хэшу. Например, хэши паролей из Active Directory имеют совершенно определённый формат, без всяких "небось". И для оффлайн-взлома NTLM-хэшей есть известные инструменты, как, впрочем, и для других форматов хэширования/шифрования.
В пассаже про "39 минут" авторы ссылаются на дискуссию по следам твита одного из авторов hashcat Сэма Кроули, где он опубликовал ссылку на результаты тестирования неразогнанной видеокарты nVidia RTX 4090 для взлома разных видов паролей. Полные результаты бенчмарка можно увидеть здесь: https://gist.github.com/Chick3nman/32e662a5bb63bc4f51b847bb422222fd
Кстати, об этом на Хабре писали.
Исходя из этих результатов, один из комментаторов оценил время, необходимое для взлома пароля произвольного из 8 символов в наборе из 95 символов (большие и маленькие буквы латиницы, цифры, спецсимоволы) при помощи стойки из 8 видеокарт RTX 4090 в 39 минут. Насколько я знаю, в реале таких тестов не проводилось. Зато проводились тесты на RTX 3090.
Рекомендацию использовать 27-символьные пароли я комментировать не стану, хотя замечу, что при помощи менеджера паролей это делать совсем не сложно.
Надо же еще проверить подошло ли.
Браузер тут ни при чём. Скорости "взлома пароля" могут быть даны для случая взлома WiFi c WPA/PSK. В таком случае проверка сводится к поиску нескольких заранее известных байт в расшифрованном фрагменте "рукопожатия". Если байты после расшифровки найдены - значит это подходящий пароль, если нет - переходим к следующему паролю из словаря.
Скорости «взлома пароля» могут быть даны для случая взлома WiFi c WPA/PSKAаа, я понял. Как в анекдоте: Правда ли, что Рабинович выиграл в рулетку в казино Лас-Вегаса миллион долларов? Правда. Но не в казино, а в очко и не в Лас-Вегасе, а в Одессе и не миллион, а тысячу и не долларов, а рублей и не выиграл, а проиграл. Взлом WiFi это да, это оч серьезный кейс. В догонку вопрос к обсуждаемому случаю: Если взломать 5-и значный пароль берет 24с, 8-и уже 39мин(т.е. в 100 раз медленнее), то сколько времени возьмет 11-и значный? 14-и значный? Чувствуете скорость замедления достижения результата? Может уже можно не волноваться, может пароль 27 чаров, черезчур?
Странная статья. Смешали цели/результаты атак с механизмами достижения этих целей.
8-мизначный пароль
8-осьми же.
P.S.: Не удержался.
Наша рекомендация — устанавливать пароль минимум в 27 символов
Не выдерживает никакой критики. На чём основана эта "рекомендация"? Криптостойкость пароля не достигается только бОльшим количеством символов, есть ещё масса других факторов. Интересен уровень "Команды Министерство цифрового развития Татарстана", если она на голубом глазу выдаёт такие необоснованные статьи.
Ну и хотя бы просто включим здравый смысл и вобьём в поисковик запрос. Смотрим. И видим навскидку первое попавшееся: рекомендации Microsoft для админов 365 - пароли не менее 14 символов. Вот это уже гораздо ближе к современным реалиям (без учета других факторов). Я даже не буду приводить ссылки на авторитетные в сфере криптографии источники, достаточно и вышеуказанного.
К примеру, благодаря Anti DDoS решениям «атаки типа отказ в обслуживании» перестали представлять серьезную угрозу компаниям.
А вот это уже совсем какие то розовые пони, извините меня. Даже слов нет, немое изумление. Это что, так серьёзно считают в "Центре противодействия киберугрозам"? Теперь я кажется начал понимать, почему так легко ложатся госресурсы постоянно, и чего на самом деле стоят госструктуры с такими пафосными названиями.
Принципиально не занимаюсь минусаторством и плюсаторством, но вот прямо-таки захотелось минус поставить.
Пароль из 27 символов: как сегодня защищать себя и свою компанию?