Ennyi idő kell a jelszavunk feltöréséhez

A jelszavak feltörésére két alapvető módszer terjedt el a kiberbűnözők körében. Az egyik megoldás esetében szavakat, illetve ezek kombinációját próbálják végig, amelyhez elektronikus formában rendelkezésre álló szótárakat vesznek igénybe. A másik lehetséges út a "brute force", vagyis a próbálkozásos módszer, amikor az összes lehetséges kombinációt végigjátszva igyekeznek megfejteni a kódot. Ez utóbbi megoldás mindenképpen eredményt hoz, pusztán az a kérdés, hogy a próbálgatás mennyi ideig tart: percek, vagy akár évezredek kellenek a jelszó visszafejtéséhez.

A leggagyibb online szolgáltatásoktól eltekintve ma már nincs olyan online rendszer, amely magát a jelszót tárolná el. Ehelyett az adatbázisba csupán a jelszó hash függvénnyel készült lenyomata kerül be. A hash sajátossága, hogy egyirányú, vagyis az eredményből nem állítható vissza az eredeti információ, a támadónak csak a próbálgatás marad a jelszó feltörésére - vagyis mindenféle bemenetet kipróbálni, amíg előáll a kívánt hash.

A Hive Systems biztonsági cég második alkalommal tette közzé idén a Hive Systems Password Table-t, azt a diagramot, ami megmutatja, hány évbe telik egy-egy jelszó visszafejtése a használt jelszó hosszúsága és komplexitása alapján, amennyiben a rosszindulatú félről feltételezzük, hogy egy átlagos hacker, asztali számítógéppel, felsőkategóriás videókártyával.

Rust? Kubernetes? FinOps? Melyiket válasszam? Egy jó karrierdöntéshez sok apróság szükséges. Egy alapos hazai technológiai körkép azoban még hiányzott. Végre van ilyen, és a 21. kraftie adásban kidumáltuk.

A támadás sikeressége nagyban függ attól, hogy mennyire számításigényes maga a hash, a teljesítmény további GPU-k hozzáadásával közel lineárisan gyorsítható. Emiatt a jelszavak tárolásához a szakemberek jóval számításigényesebb hash-függvényt ajánlanak, az egyik, széles körben elfogadott ilyen függvény a bcrypt, mégis manapság még sok az MD5-öt használó webhely.

A sok weboldal által kért, 8 karakteres hosszúságú jelszavak ma már nem jelentenek túl nagy kihívást a hackerek számára,  a legtöbb esetben szinte azonnal, vagy néhány percen belül feltörhetők. A feltöréshez szükséges idő még tovább csökkenthető, ha valaki több videókártyát, vagy egy óránként néhány dollárért bérelhető felhőszolgáltatást is igénybe vesz.

A 2020-as táblázat összeállításakor a Hive Systems még egy RTX 2080 GPU-t vett alapul, a friss táblázathoz pedig egy RTX 3090-et. Egy videókártya fontos jellemzője, hogy másodpercenként hány számítást végez, jellemzően lebegőpontos műveletekben (FLOPS), és míg teljesítménye alapján az RTX 2080 kártya 37 085 millió hasht tud feltörni másodpercenként (MH/s), addig az RTX 3090 már 69,38 milliót, ami 86 százalékkal több. A rosszabb hír, hogy a felhőszolgáltatásokat a kiberbűnözők is használhatják, így ha van elég pénzük, akkor akár az Amazon nagy teljesítményű klaszterjeinek egyikét is bevethetik. Az e-kereskedelmi óriás jelenleg 8 Nvidia A100 Tensor Core GPU-t kínál szolgáltatásában, amivel az RTX 2080 10 billió FLOPS már könnyen 2500 billió FLOPS-ra ugrik.

A jelszóválasztásnál tehát figyelembe venni néhány egyszerű ökölszabályt: lehetőség szerint numerikus és alfabetikus karaktereket egyaránt használjunk, illetve a jelszóban egyaránt szerepeljenek kis és nagybetűk, de mint a táblázatból is kiderül, a legfontosabb a jelszó hossza. Így ha könnyen megjegyezhető, de nehezen feltörhető karaktersort szeretnénk választani, akkor jelszó helyett jelmondatot használjunk. Egy 18 karakter hossszúságú jelszó feltörése számokkal, kis- és nagybetűkkel, valamint szimbólumokkal akár 438 billió évbe is telhet.

A metódus és a különböző összehasonlítások részletesebben olvashatók a Hive Systems oldalán.