В свежем исследовании специалистов «Лаборатории Касперского» подробно анализируется стойкость типичных пользовательских паролей к перебору. Главный вывод работы — 59% паролей могут быть взломаны менее чем за час. Для этого была проанализирована огромная база из 193 миллионов паролей, обнаруженных в свободном доступе на различных ресурсах в даркнете. Авторы исследования рассматривали вполне реалистичный сценарий, при котором атакуется база паролей пользователей какого-либо сервиса. Исключается самый печальный сценарий, при котором пароли хранятся в открытом виде. Если пароли захешированы с солью, такие хеши по сути необратимы, но с помощью перебора можно установить соответствие реального пароля и его хеша.
Для измерения времени подбора требуется задать целевую производительность. В качестве референса была выбрана видеокарта RTX 4090 — решение недешевое, но тем не менее повсеместно доступное. Скорость подбора в такой конфигурации составляет 164 миллиарда хешей в секунду. Пожалуй, самый положительный вывод статьи заключается в том, что сложные пароли в базах утечек встречаются не так уж и редко. 28% паролей состоят из заглавных и строчных символов, содержат цифры и спецсимволы. Брутфорс 85% таких паролей займет больше года. Впрочем, речь идет о самом прямолинейном методе полного перебора. В исследовании оцениваются и более эффективные способы.
Работа оценивает пять оптимизированных методов перебора. Например, можно оценить базу утечек и выбрать наиболее часто встречаемые паттерны, которые и следует проверять в первую очередь. Есть способ оптимизации, отдающий приоритет наиболее часто встречающимся символам. Отдельный алгоритм упрощает подбор паролей, в которых содержатся слова из словаря. Также исследователи включили в подборку два метода подбора, использующих варианты трех наиболее часто встречающихся символов. Тестирование всех этих алгоритмов не выявляет победителя: эффективность конкретного метода зависит от характера и стойкости паролей.
Для оценки общей эффективности различных методов они были разделены по сложности паролей, в зависимости от времени, затрачиваемого на подбор: не более минуты, не более часа, до суток и так далее. В каждой категории сложности было рассчитано, какая доля паролей может быть взломана наиболее подходящим алгоритмом. Это несколько теоретическая метрика: предполагается, что потенциальный атакующий смог подобрать наиболее оптимальный алгоритм для взлома конкретного пароля. Более реалистичен сценарий, когда разные алгоритмы перебора запускаются одновременно на разных видеокартах. В итоге при самых идеальных условиях 45% из утекших в сеть паролей могут быть взломаны за минуту, еще 14% можно взломать в течение часа. Что в сумме и дает те самые 59%. Даже при использовании оптимальных алгоритмов подбор 23% паролей все равно займет больше года.
Отдельно в статье рассматривается сценарий, когда в составе пароля присутствует слово из словаря, и исследователи однозначно негативно расценивают такой подход к составлению паролей. Слова входят в состав 57% паролей. Абсолютное большинство паролей, состоящее только из слов, может быть взломано за минуту. Даже при добавлении дополнительных букв, цифр и спецсимволов только 20% паролей со словами будут по-настоящему стойкими — на их подбор уйдет больше года.
Исследователи приводят еще несколько интересных фактов о паролях. Вообще любой пароль длиной до 8 символов взламывается в течение часа. Оптимизированные алгоритмы легко справляются даже с длинными паролями, если в них есть типичные паттерны — наборы символов QWERTY, последовательности цифр и так далее. Помимо паролей из слов ожидаемо нестойкими являются пароли, состоящие только из цифр. Очевидный вывод исследования заключается в необходимости использования программно сгенерированных паролей большой длины, состоящих исключительно из случайных символов.
Что еще произошло:
Издание BleepingComputer пишет о необычной кибератаке, при которой злоумышленники генерируют в браузере диалог «ошибки» в часто используемых приложениях, например в Microsoft Word. Для «решения» проблемы пользователю предлагают скопировать и запустить скрипт PowerShell, который приводит к выполнению вредоносного кода.
Исследователи нашли способ обхода аппаратной системы защиты Memory Tagging Extensions, используемой в процессорах на архитектуре ARM.
Компания Eclypsium обнаружила уязвимость в прошивке Phoenix SecureCore UEFI, используемой для реализации функциональности Trusted Platform Module. Достаточно серьезная проблема актуальна как для ряда десктопных и ноутбучных материнских плат, так и для процессоров Intel вплоть до Tiger Lake.
В ряде сетевых устройств D-Link обнаружен «заводской» бэкдор. При обращении к роутеру из локальной сети по «секретному» URL можно принудительно включить на устройстве доступ по протоколу telnet.
Масштабная киберкриминальная операция таргетирует Android-устройства, более не получающие обновления безопасности. На смартфоны устанавливается вредоносное ПО, устройство блокируется, а у владельцев требуют выкуп.
Для измерения времени подбора требуется задать целевую производительность. В качестве референса была выбрана видеокарта RTX 4090 — решение недешевое, но тем не менее повсеместно доступное. Скорость подбора в такой конфигурации составляет 164 миллиарда хешей в секунду. Пожалуй, самый положительный вывод статьи заключается в том, что сложные пароли в базах утечек встречаются не так уж и редко. 28% паролей состоят из заглавных и строчных символов, содержат цифры и спецсимволы. Брутфорс 85% таких паролей займет больше года. Впрочем, речь идет о самом прямолинейном методе полного перебора. В исследовании оцениваются и более эффективные способы.
Работа оценивает пять оптимизированных методов перебора. Например, можно оценить базу утечек и выбрать наиболее часто встречаемые паттерны, которые и следует проверять в первую очередь. Есть способ оптимизации, отдающий приоритет наиболее часто встречающимся символам. Отдельный алгоритм упрощает подбор паролей, в которых содержатся слова из словаря. Также исследователи включили в подборку два метода подбора, использующих варианты трех наиболее часто встречающихся символов. Тестирование всех этих алгоритмов не выявляет победителя: эффективность конкретного метода зависит от характера и стойкости паролей.
Для оценки общей эффективности различных методов они были разделены по сложности паролей, в зависимости от времени, затрачиваемого на подбор: не более минуты, не более часа, до суток и так далее. В каждой категории сложности было рассчитано, какая доля паролей может быть взломана наиболее подходящим алгоритмом. Это несколько теоретическая метрика: предполагается, что потенциальный атакующий смог подобрать наиболее оптимальный алгоритм для взлома конкретного пароля. Более реалистичен сценарий, когда разные алгоритмы перебора запускаются одновременно на разных видеокартах. В итоге при самых идеальных условиях 45% из утекших в сеть паролей могут быть взломаны за минуту, еще 14% можно взломать в течение часа. Что в сумме и дает те самые 59%. Даже при использовании оптимальных алгоритмов подбор 23% паролей все равно займет больше года.
Отдельно в статье рассматривается сценарий, когда в составе пароля присутствует слово из словаря, и исследователи однозначно негативно расценивают такой подход к составлению паролей. Слова входят в состав 57% паролей. Абсолютное большинство паролей, состоящее только из слов, может быть взломано за минуту. Даже при добавлении дополнительных букв, цифр и спецсимволов только 20% паролей со словами будут по-настоящему стойкими — на их подбор уйдет больше года.
Исследователи приводят еще несколько интересных фактов о паролях. Вообще любой пароль длиной до 8 символов взламывается в течение часа. Оптимизированные алгоритмы легко справляются даже с длинными паролями, если в них есть типичные паттерны — наборы символов QWERTY, последовательности цифр и так далее. Помимо паролей из слов ожидаемо нестойкими являются пароли, состоящие только из цифр. Очевидный вывод исследования заключается в необходимости использования программно сгенерированных паролей большой длины, состоящих исключительно из случайных символов.
Что еще произошло:
Издание BleepingComputer пишет о необычной кибератаке, при которой злоумышленники генерируют в браузере диалог «ошибки» в часто используемых приложениях, например в Microsoft Word. Для «решения» проблемы пользователю предлагают скопировать и запустить скрипт PowerShell, который приводит к выполнению вредоносного кода.
Исследователи нашли способ обхода аппаратной системы защиты Memory Tagging Extensions, используемой в процессорах на архитектуре ARM.
Компания Eclypsium обнаружила уязвимость в прошивке Phoenix SecureCore UEFI, используемой для реализации функциональности Trusted Platform Module. Достаточно серьезная проблема актуальна как для ряда десктопных и ноутбучных материнских плат, так и для процессоров Intel вплоть до Tiger Lake.
В ряде сетевых устройств D-Link обнаружен «заводской» бэкдор. При обращении к роутеру из локальной сети по «секретному» URL можно принудительно включить на устройстве доступ по протоколу telnet.
Масштабная киберкриминальная операция таргетирует Android-устройства, более не получающие обновления безопасности. На смартфоны устанавливается вредоносное ПО, устройство блокируется, а у владельцев требуют выкуп.
Комментарии (5)
ifap
24.06.2024 18:19+4К.О. рапортуетTL;TR: рост мощностей потребительских видеокарт сократил время, необходимое для брута паролей мамкиными хакерами.
friend001002
24.06.2024 18:19Исправьте, пожалуйста, статью. Оригинальный источник упоминает, что по некой неизвестной причине используется MD5 вместо нормальных алгоритмов хэширования. Ваш же рерайт MD5 не упоминает, что делает статью бессмысленной, поскольку скорость подбора пароля зависит от сложности хэша.
Moog_Prodigy
Касательно взлома паролей: я вам ничего про это не расскажу)