Jump to content
Forum Kopalni Wiedzy

Recommended Posts

W informatyce nie istnieją zabezpieczenia doskonałe i każde z nich można w końcu pokonać. Jednak czy zostaną one pokonane zależy w dużej mierze od korzyści, jakich spodziewa się atakujący. Dlatego też korzystając z najbardziej rozpowszechnionej metody zabezpieczania danych - haseł - powinniśmy pamiętać, że im dłuższe hasło, tym jego złamanie jest trudniejsze i bardziej kosztowne.

Eksperci z firmy Electric Alchemy pokusili się o oszacowanie nie tylko kosztów złamania hasła metodą brute force, ale również oceny, w jaki sposób wykorzystanie najnowszych technologii wpływa na ich obniżenie.

W ramach eksperymentów przeprowadzono ataki na plik .zip chroniony za pomocą oprogramowania PGP. Wykorzystano przy tym program EDPR do łamania haseł produkowany przez rosyjską firmę ElcomSoft.

Pierwsze próby wykazały, że jeśli użyjemy dwurdzeniowego peceta z systemem Windows 7 to złamanie średniej długości hasła zajmie nam około 2100 dni. To, oczywiście, nieakceptowalnie długo. Dlatego też specjaliści wpadli na pomysł wykorzystania chmur obliczeniowych.

Wynajęli w tym celu moc obliczeniową chmury EC2 Amazona. Jest ona udostępniana w cenie 30 centów za godzinę pracy każdego procesu obliczeniowego. Po odpowiednim skonfigurowaniu okazało się, że 10 wirtualnych komputerów korzystających równocześnie z EDPR jest w stanie złamać hasło w ciągu 122 dni. Koszt takiego przedsięwzięcia wynosi mniej niż 8784 USD. Jeśli jednak wynajmiemy 100 wirtualnych maszyn, to złamią one hasło w ciągu 12 dni, a my zapłacimy za to 8640 USD.

Wyraźnie więc widać, że nowoczesna technologia pozwala na szybkie i tanie łamanie haseł. Dlatego też, co udowodniły kolejne obliczenia Electric Alchemy, hasła powinny  być jak najdłuższe i powinny korzystać z jak największego zestawu znaków.

Wystarczy wspomnieć, że złamanie hasła składającego się z 9 znaków, wśród których mogą znaleźć się wszystkie symbole ASCII kosztuje co najmniej 10 milionów dolarów.  W przypadku 12-znakowego hasła koszt rośnie do 8 miliardów USD. Jednak będzie on znacznie niższy, gdy wykorzystamy tylko małe litery łacińskie i cyfry. Wówczas ośmioznakowe hasło złamiemy za 45 USD, 9-znakowe będzie kosztowało 1628 dolarów, a 10-znakowe - 58 592 USD. Dalej koszt gwałtownie rośnie i przy 11-znakowym wynosi już ponad 2 miliony USD, a przy 12-znakowym zbliża się do 76 milionów dolarów.

Share this post


Link to post
Share on other sites

Wniosek na dole strony jest dość pokrętny. Aby hasło składające się tylko z małych liter było tak samo mocne jak to składające się z wszystkich znaków ASCII wystarczy, żeby było dłuższe o 3 znaki. Jeżeli będzie dłuższe o 2 znaki, to będzie mniej więcej tak samo mocne. http://www.wolframalpha.com/input/?i=(26%2B26%2B10%2B29)^9+/+(26%2B10)^11

Share this post


Link to post
Share on other sites

a uzytkownicy i tak glownie uzywaja haseł "imie1" data urodzenia, imie psa i masa innych ze standardowego słownika, tak że metoda brutal force na zwyklym PC łamie sie hasła w kilka godzin, max dni.

Share this post


Link to post
Share on other sites

a uzytkownicy i tak glownie uzywaja haseł "imie1" data urodzenia, imie psa i masa innych ze standardowego słownika, tak że metoda brutal force na zwyklym PC łamie sie hasła w kilka godzin, max dni.

nie lamie sie, je sie resetuje, lub w najgorszym przypadku korzysta sie z konta administratora glownego [ root ]ktore nie jest chronione zadnym haslem [ systemy windows ]

Share this post


Link to post
Share on other sites

Stopień złożoności algorytmu szyfrującego/hashującego jest bardzo istotny. Różnica między archiwum .zip zakodowanym PGP a np kombinacją Serpent+Twofish (jedna z zalecanych przez TrueCrypt) to kilka rzędów wielkości.

 

Dziś raczej używa się TrueCrypta itp. narzędzi niż szyfrowania zipów..

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...