Narzędzie przewiduje czas potrzebny do złamania hasła

Zamiast pokazywać siłę hasła w postaci kolorowego paska narzędzie kryptograficzne dla windowsowego Thor's Godly Privacy (TGP) informuje o potencjalnym czasie, który były potrzebny do przeprowadzenia udanego ataku Brute Force. TGP wylicza czas z liczby iteracji, których potrzebowałoby narzędzie do łamania haseł tą metodą, aby znaleźć prawidłową kombinację znaków.

Narzędzie przewiduje czas potrzebny do złamania hasła
Źródło zdjęć: © heise-online.pl

15.07.2010 16:07

Zamiast pokazywać siłę hasła w postaci kolorowego paska narzędzie kryptograficzne dla windowsowego Thor's Godly Privacy (TGP) informuje o potencjalnym czasie, który były potrzebny do przeprowadzenia udanego ataku Brute Force. TGP wylicza czas z liczby iteracji, których potrzebowałoby narzędzie do łamania haseł tą metodą, aby znaleźć prawidłową kombinację znaków.

Podstawą wyliczeń jest atak klasy F z przebiegiem miliarda haseł na sekundę, a także przestrzenią kluczy liczącą 96 znaków, przy czym występują w nich wszystkie małe i duże litery, a także wszystkie liczby i znaki specjalne, nawiasy i tym podobne (961 + 962 + 963 + 964 + …). TGP nie podaje jednak czasu przeprowadzenia prób dla całej przestrzeni, ale konkretny czas dla każdego hasła: 10 × litera A daje zupełnie inny wynik niż dziesięciokrotnie wstawiony znak tyldy.

Obraz
© Atak Brute Force przy takim haśle potrwałby prawie 2. lat, być może atak słownikowy pozwoliłby szybciej osiągnąć cel (fot. heise-online.pl)

W ten sposób narzędzie demonstruje, że z punktu widzenia zdolności do oporu długość hasła jest ważniejsza niż jego stopień skomplikowania, jeśli tylko nie używamy prostych haseł w rodzaju "branża sztuczek podatkowych", które można złamać za pomocą ataku
słownikowego. Według oceny Timothy'ego "Thora" Mullena, twórcy narzędzia, taka informacja jest dla użytkownika bardziej praktyczna niż czerwone i zielone paski albo ogólna ocena siły ("dobre", "średnie", "słabe"). Tak zwany PasswordStrength Checker jest elementem składowym generatora kluczy dla TGP, za pomocą którego można szyfrować pliki. TGP (encryption for the cloud) osadza zaszyfrowany plik kodowany z użyciem Base64 w formularzu XML, który można w prosty sposób umieścić na stronach internetowych. Jeśli ktoś chce się pobawić narzędziem PasswordStrength Checker, ale nie zamierza od razu instalować całego pakietu kryptograficznego, może także korzystać z wersji online. Tam jednak nie powinno się podawać haseł, z których później będziemy korzystać. Niedawno zalecenia organizacji Bitkom w sprawie obchodzenia się z hasłami doprowadziły do zaciekłej dyskusji. Bitkom proponował, aby pracownicy firm regularnie zmieniali hasła; organizacja proponowała
wprowadzenie wymogu minimalnej długości hasła i stopnia jego trudności.

wydanie internetowe www.heise-online.pl

Wybrane dla Ciebie
Komentarze (3)