Security Week 2426: стойкость паролей к перебору
В свежем исследовании специалистов «Лаборатории Касперского» подробно анализируется стойкость типичных пользовательских паролей к перебору. Главный вывод работы — 59% паролей могут быть взломаны менее чем за час. Для этого была проанализирована огромная база из 193 миллионов паролей, обнаруженных в свободном доступе на различных ресурсах в даркнете. Авторы исследования рассматривали вполне реалистичный сценарий, при котором атакуется база паролей пользователей какого-либо сервиса. Исключается самый печальный сценарий, при котором пароли хранятся в открытом виде. Если пароли захешированы с солью, такие хеши по сути необратимы, но с помощью перебора можно установить соответствие реального пароля и его хеша.
Для измерения времени подбора требуется задать целевую производительность. В качестве референса была выбрана видеокарта NVIDIA GeForce RTX 4090 — решение недешевое, но тем не менее повсеместно доступное. Скорость подбора в такой конфигурации составляет 164 миллиарда хешей в секунду. Пожалуй, самый положительный вывод статьи заключается в том, что сложные пароли в базах утечек встречаются не так уж и редко. 28% паролей состоят из заглавных и строчных символов, содержат цифры и спецсимволы. Брутфорс 85% таких паролей займет больше года. Впрочем, речь идет о самом прямолинейном методе полного перебора. В исследовании оцениваются и более эффективные способы.
Работа оценивает пять оптимизированных методов перебора. Например, можно оценить базу утечек и выбрать наиболее часто встречаемые паттерны, которые и следует проверять в первую очередь. Есть способ оптимизации, отдающий приоритет наиболее часто встречающимся символам. Отдельный алгоритм упрощает подбор паролей, в которых содержатся слова из словаря. Также исследователи включили в подборку два метода подбора, использующих варианты трех наиболее часто встречающихся символов. Тестирование всех этих алгоритмов не выявляет победителя: эффективность конкретного метода зависит от характера и стойкости паролей.
Для оценки общей эффективности различных методов они были разделены по сложности паролей, в зависимости от времени, затрачиваемого на подбор: не более минуты, не более часа, до суток и так далее. В каждой категории сложности было рассчитано, какая доля паролей может быть взломана наиболее подходящим алгоритмом. Это несколько теоретическая метрика: предполагается, что потенциальный атакующий смог подобрать наиболее оптимальный алгоритм для взлома конкретного пароля. Более реалистичен сценарий, когда разные алгоритмы перебора запускаются одновременно на разных видеокартах. В итоге при самых идеальных условиях 45% из утекших в сеть паролей могут быть взломаны за минуту, еще 14% можно взломать в течение часа. Что в сумме и дает те самые 59%. Даже при использовании оптимальных алгоритмов подбор 23% паролей все равно займет больше года.
Отдельно в статье рассматривается сценарий, когда в составе пароля присутствует слово из словаря, и исследователи однозначно негативно расценивают такой подход к составлению паролей. Слова входят в состав 57% паролей. Абсолютное большинство паролей, состоящее только из слов, может быть взломано за минуту. Даже при добавлении дополнительных букв, цифр и спецсимволов только 20% паролей со словами будут по-настоящему стойкими — на их подбор уйдет больше года.
Исследователи приводят еще несколько интересных фактов о паролях. Вообще любой пароль длиной до 8 символов взламывается в течение часа. Оптимизированные алгоритмы легко справляются даже с длинными паролями, если в них есть типичные паттерны — наборы символов QWERTY, последовательности цифр и так далее. Помимо паролей из слов ожидаемо нестойкими являются пароли, состоящие только из цифр. Очевидный вывод исследования заключается в необходимости использования программно сгенерированных паролей большой длины, состоящих исключительно из случайных символов.
Что еще произошло:
Издание BleepingComputer пишет о необычной кибератаке, при которой злоумышленники генерируют в браузере диалог «ошибки» в часто используемых приложениях, например в Microsoft Word. Для «решения» проблемы пользователю предлагают скопировать и запустить скрипт PowerShell, который приводит к выполнению вредоносного кода.
Исследователи нашли способ обхода аппаратной системы защиты Memory Tagging Extensions, используемой в процессорах на архитектуре ARM.
Компания Eclypsium обнаружила уязвимость в прошивке Phoenix SecureCore UEFI, используемой для реализации функциональности Trusted Platform Module. Достаточно серьезная проблема актуальна как для ряда десктопных и ноутбучных материнских плат, так и для процессоров Intel вплоть до Tiger Lake.
В ряде сетевых устройств D-Link обнаружен «заводской» бэкдор. При обращении к роутеру из локальной сети по «секретному» URL можно принудительно включить на устройстве доступ по протоколу telnet.
Масштабная киберкриминальная операция таргетирует Android-устройства, более не получающие обновления безопасности. На смартфоны устанавливается вредоносное ПО, устройство блокируется, а у владельцев требуют выкуп.
Habrahabr.ru прочитано 1999 раз
