Ennyi idő kell a jelszavunk feltöréséhez

A jelszavak feltörésére két alapvető módszer terjedt el a kiberbűnözők körében. Az egyik megoldás esetében szavakat, illetve ezek kombinációját próbálják végig, amelyhez elektronikus formában rendelkezésre álló szótárakat vesznek igénybe. A másik lehetséges út a "brute force", vagyis a próbálkozásos módszer, amikor az összes lehetséges kombinációt végigjátszva igyekeznek megfejteni a kódot. Ez utóbbi megoldás mindenképpen eredményt hoz, pusztán az a kérdés, hogy a próbálgatás mennyi ideig tart: percek, vagy akár évezredek kellenek a jelszó visszafejtéséhez.

A leggagyibb online szolgáltatásoktól eltekintve ma már nincs olyan online rendszer, amely magát a jelszót tárolná el. Ehelyett az adatbázisba csupán a jelszó hash függvénnyel készült lenyomata kerül be. A hash sajátossága, hogy egyirányú, vagyis az eredményből nem állítható vissza az eredeti információ, a támadónak csak a próbálgatás marad a jelszó feltörésére - vagyis mindenféle bemenetet kipróbálni, amíg előáll a kívánt hash.

A Hive Systems biztonsági cég második alkalommal tette közzé idén a Hive Systems Password Table-t, azt a diagramot, ami megmutatja, hány évbe telik egy-egy jelszó visszafejtése a használt jelszó hosszúsága és komplexitása alapján, amennyiben a rosszindulatú félről feltételezzük, hogy egy átlagos hacker, asztali számítógéppel, felsőkategóriás videókártyával.

Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.

A támadás sikeressége nagyban függ attól, hogy mennyire számításigényes maga a hash, a teljesítmény további GPU-k hozzáadásával közel lineárisan gyorsítható. Emiatt a jelszavak tárolásához a szakemberek jóval számításigényesebb hash-függvényt ajánlanak, az egyik, széles körben elfogadott ilyen függvény a bcrypt, mégis manapság még sok az MD5-öt használó webhely.

A sok weboldal által kért, 8 karakteres hosszúságú jelszavak ma már nem jelentenek túl nagy kihívást a hackerek számára,  a legtöbb esetben szinte azonnal, vagy néhány percen belül feltörhetők. A feltöréshez szükséges idő még tovább csökkenthető, ha valaki több videókártyát, vagy egy óránként néhány dollárért bérelhető felhőszolgáltatást is igénybe vesz.

A 2020-as táblázat összeállításakor a Hive Systems még egy RTX 2080 GPU-t vett alapul, a friss táblázathoz pedig egy RTX 3090-et. Egy videókártya fontos jellemzője, hogy másodpercenként hány számítást végez, jellemzően lebegőpontos műveletekben (FLOPS), és míg teljesítménye alapján az RTX 2080 kártya 37 085 millió hasht tud feltörni másodpercenként (MH/s), addig az RTX 3090 már 69,38 milliót, ami 86 százalékkal több. A rosszabb hír, hogy a felhőszolgáltatásokat a kiberbűnözők is használhatják, így ha van elég pénzük, akkor akár az Amazon nagy teljesítményű klaszterjeinek egyikét is bevethetik. Az e-kereskedelmi óriás jelenleg 8 Nvidia A100 Tensor Core GPU-t kínál szolgáltatásában, amivel az RTX 2080 10 billió FLOPS már könnyen 2500 billió FLOPS-ra ugrik.

A jelszóválasztásnál tehát figyelembe venni néhány egyszerű ökölszabályt: lehetőség szerint numerikus és alfabetikus karaktereket egyaránt használjunk, illetve a jelszóban egyaránt szerepeljenek kis és nagybetűk, de mint a táblázatból is kiderül, a legfontosabb a jelszó hossza. Így ha könnyen megjegyezhető, de nehezen feltörhető karaktersort szeretnénk választani, akkor jelszó helyett jelmondatot használjunk. Egy 18 karakter hossszúságú jelszó feltörése számokkal, kis- és nagybetűkkel, valamint szimbólumokkal akár 438 billió évbe is telhet.

A metódus és a különböző összehasonlítások részletesebben olvashatók a Hive Systems oldalán.