Мощность современных компьютеров продолжает расти, что позволяет решать всё более сложные задачи быстрее. Одним из побочных эффектов этого явления выступает возможность взлома тех паролей, которые ещё несколько лет назад казались надёжными.
Недавнее исследование “Лаборатории Касперского” показало, что видеокарта RTX 4090 может угадать восьмизначный пароль, состоящий из английских букв одного регистра и цифр, всего за 17 секунд. А свыше половины всех используемых в киберпространстве паролей (59%) можно взломать менее, чем за час.
Для аутентификации пользователей веб-сайты хранят пары логин-пароль в виде хешей, а не в открытом виде. Хеши защищают пароли в случае утечки, добавляя соль перед хешированием для предотвращения использования радужных таблиц. Несмотря на необратимость хешей, злоумышленник, получивший доступ к утекшей базе данных, может попробовать подобрать пароли, используя готовые инструменты, такие как hashcat, доступные в открытом доступе.
В ходе исследования было проанализировано 193 миллиона утекших паролей, доступных на различных сайтах в тёмной сети. Пароли не собирались и не хранились самой “Лабораторией Касперского”.
Для оценки времени, необходимого на взлом пароля методом перебора, использовались различные алгоритмы, включая словарные атаки и перебор распространённых комбинаций символов. Метод перебора является простым и прямолинейным: компьютер пробует все возможные варианты паролей до тех пор, пока не найдёт правильный. Такой подход менее эффективен для длинных паролей. Время взлома напрямую зависит от длины пароля и количества типов символов в нём.
Наиболее популярные пароли (28%) включают буквы в разных регистрах, специальные символы и цифры. Большинство этих паролей сложно взломать методом перебора: около 5% можно угадать всего за день, но остальные 85% требуют на подбор более года.
Пароли, состоящие только из букв, цифр или специальных символов, являются наименее стойкими. Большинство таких паролей можно взломать за день. Как показала статистика, надёжные пароли, состоящие только из букв, начинаются с 11 символов, в то время как надёжных паролей, состоящих только из цифр, в выборке не было вообще.
Существуют алгоритмы, оптимизирующие процесс взлома, учитывающие популярные комбинации символов, такие как “12345” или “qwerty”. Например, алгоритм zxcvbn оценивает сложность пароля, определяя его шаблон и рассчитывая количество итераций, необходимых для его взлома.
В исследовании использовались различные оптимизированные алгоритмы, такие как 3gram_seq и ngram_opt_corr. Эти методы учитывают вероятность появления следующих символов, основываясь на предыдущих. Оптимизированные алгоритмы могут предоставлять значительное преимущество в скорости взлома.
Исследование показало, что 45% всех паролей можно угадать менее, чем за минуту, 59% – менее, чем за час, а 73% – менее, чем за месяц. И лишь 23% паролей требуют более года для взлома.
Большинство (57%) паролей содержат словарное слово, что значительно снижает их стойкость. Половину таких паролей можно взломать менее, чем за минуту, а 67% – менее, чем за час. Только 12% таких паролей являются достаточно стойкими.
Современные графические процессоры способны взламывать пароли с огромной скоростью. Для защиты аккаунтов, в идеале, рекомендуется использовать случайные пароли, сгенерированные компьютером. В противном случае рекомендуется использовать длинные пароли, включающие верхний и нижний регистр, цифры и спецсимволы, попутно избегая словарных слов.
Также, далеко не лишним будет проверить свои пароли на стойкость с помощью специализированных инструментов. Если они покажут, что ваш пароль ненадёжный, его стоит сменить. Кроме того, на всех важных аккаунтах в обязательном порядке должна быть настроена двухфакторная аутентификация, чтобы даже в случае кражи или подбора пароля хакеры не смогли заполучить доступ к вашим данным.