Gotovo šest od deset lozinki može se probiti u manje od sat vremena pomoću moderne grafičke kartice ili usluga u oblaku. Hakerima je potrebno tek nekoliko dolara i nešto slobodnog vremena. Kako je to moguće i što učiniti u vezi s tim?
Iako je Svjetski dan lozinki, koji se svake godine obilježava prvog četvrtka u svibnju, prošao, sigurnost lozinki trebala bi biti svakodnevna tema. Tvrtka Kaspersky analizirala je stvarne lozinke koje su procurile na dark webu, a rezultati su alarmantni: 59 posto tih lozinki može se probiti u manje od sat vremena — a sve što je potrebno je moderna grafička kartica i malo znanja.
Kako se lozinke probijaju?
Probijanje lozinki odnosi se na razbijanje jedinstvenog niza znakova koji predstavljaju lozinku. Tvrtke obično pohranjuju korisničke lozinke na jedan od tri načina:
Plain Text (Javni tekst): Ako je lozinka korisnika npr. qwerty12345, pohranjuje se na poslužitelju u tom obliku. Ako dođe do povrede podataka, haker samo treba unijeti tu lozinku zajedno s odgovarajućim korisničkim imenom.
Hashing (Raspršivanje): Ova metoda koristi algoritme poput MD5 i SHA-1 za pretvaranje lozinke u jedinstvenu vrijednost (hash). Kada korisnik unese lozinku, sustav je pretvara u hash i uspoređuje s onim pohranjenim na poslužitelju. Ako se podudaraju, lozinka je ispravna.
Hashing sa solju: Ova metoda dodaje nasumični niz podataka - poznat kao sol (poput začina) - svakoj lozinki prije raspršivanja. To čini lozinke mnogo težim za probijanje jer unaprijed izračunate tablice postaju beskorisne hakerima.
Metode hakiranja lozinki
Moderni grafički procesori, poput RTX 4090, mogu postići stopu od 164 milijarde hashiranja u sekundi (GH/s) za MD5 hashove sa solju (naravno, to nema veze sa začinom). Primjerice, lozinka od osam znakova s latiničnim slovima i znamenkama može se probiti za samo 17 sekundi s takvom grafičkom karticom.
Čak i napadači koji nemaju pristup skupim grafičkim karticama mogu unajmiti računalnu snagu za nekoliko dolara po satu, što im omogućava da probiju lozinke u rekordnom vremenu.
Alarmantni rezultati istraživanja
Koristeći brute-force metode i algoritme pametnog pogađanja, Kaspersky je testirao snagu lozinki. Dok brute-force metoda ponavlja sve moguće kombinacije znakova redom, pametni algoritmi koriste podatke o učestalosti različitih kombinacija znakova kako bi najprije isprobali najčešće kombinacije.
Rezultati su uznemirujući: 45 posto od 193 milijuna analiziranih lozinki pametni algoritam mogao je probiti za manje od minute, 59 posto unutar sat vremena, 67 posto unutar mjesec dana, a samo 23 posto lozinki smatralo se doista jakim — potrebna je bila više od godinu dana za probijanje.
Preporuke za sigurnost lozinki
- Generirajte jake lozinke koje uključuju mala i velika slova, simbole, brojke
- Koristite mnemoničke zaporke umjesto smislenih riječi, imena ili lozinke koje se lako mogu pogoditi iz vaših osobnih podataka, poput imena članova obitelji ili kućnih ljubimaca
- Nikada nemojte koristiti iste lozinke na različitim stranicama
- Ne spremajte lozinke u preglednike
- Čuvajte lozinke u upravitelju lozinki i izradite primarnu lozinku otpornu na probijanje
- Omogućite dvofaktorsku autentifikaciju (2FA) gdje god je to moguće.
Na kraju, važno je osvijestiti koliko je važno redovito ažurirati svoje lozinke i koristiti alate za provjeru snage lozinki. Samo uz pravilne sigurnosne mjere možete se učinkovito zaštititi od sve sofisticiranijih metoda probijanja lozinki.