Video: Paw Patrol | Wir sind Bereit zu Helfen! 🐶| Nick Jr. (Dezember 2024)
Es vergeht kaum eine Woche, in der keine Nachricht von einer Datenschutzverletzung vorliegt, durch die Millionen oder Milliarden von Passwörtern offengelegt werden. In den meisten Fällen wird tatsächlich eine Version des Kennworts angezeigt, die über einen Hashing-Algorithmus ausgeführt wurde, nicht das Kennwort selbst. Der neueste Bericht von Trustwave zeigt, dass Hashing nicht hilft, wenn Benutzer dumme Passwörter erstellen, und dass die Länge wichtiger ist als die Komplexität von Passwörtern.
Hacker knacken @ u8vRj & R3 * 4h, bevor sie StatelyPlumpBuckMulligan oder ItWasTheBestOfTimes knacken.
Hashing es aus
Die Idee hinter dem Hashing ist, dass die sichere Website niemals das Passwort eines Benutzers speichert. Stattdessen wird das Ergebnis der Kennwortausführung über einen Hashing-Algorithmus gespeichert. Hashing ist eine Art Einwegverschlüsselung. Dieselbe Eingabe generiert immer dasselbe Ergebnis, aber es gibt keine Möglichkeit, vom Ergebnis zum ursprünglichen Kennwort zurückzukehren. Wenn Sie sich anmelden, werden die eingegebenen Daten von der serverseitigen Software gecasht. Wenn es mit dem gespeicherten Hash übereinstimmt, sind Sie dabei.
Das Problem bei diesem Ansatz ist, dass die bösen Jungs auch Zugriff auf Hashalgorithmen haben. Sie können jede Zeichenkombination für eine bestimmte Kennwortlänge durch den Algorithmus ausführen und die Ergebnisse mit einer Liste gestohlener, gehashter Kennwörter abgleichen. Für jeden übereinstimmenden Hash haben sie ein Passwort dekodiert.
Im Verlauf von Tausenden von Tests zur Netzwerkdurchdringung im Jahr 2013 und Anfang 2014 sammelten die Trustwave-Forscher über 600.000 gehashte Passwörter. Mit Hash-Cracking-Code auf leistungsstarken GPUs haben sie innerhalb von Minuten über die Hälfte der Passwörter geknackt. Der Test dauerte einen Monat. Zu diesem Zeitpunkt hatten sie über 90 Prozent der Proben geknackt.
Passwörter - Sie tun es falsch
Es ist allgemein bekannt, dass ein Kennwort, das Großbuchstaben, Kleinbuchstaben, Ziffern und Satzzeichen enthält, schwer zu knacken ist. Es stellt sich heraus, dass das nicht ganz stimmt. Ja, es wäre schwierig für einen Übeltäter, ein Passwort wie N ^ a & $ 1nG zu erraten , aber laut Trustwave könnte ein Angreifer dieses in weniger als vier Tagen knacken. Im Gegensatz dazu würde das Knacken eines langen Passworts wie GoodLuckGuessingThisPassword fast 18 Jahre Verarbeitungszeit erfordern.
In vielen IT-Abteilungen sind Kennwörter mit mindestens acht Zeichen erforderlich, die Großbuchstaben, Kleinbuchstaben und Ziffern enthalten. Der Bericht weist darauf hin, dass "Password1" diese Anforderungen leider erfüllt. Nicht zufällig war Password1 das häufigste Einzelpasswort in der untersuchten Sammlung.
Die Forscher von TrustWave stellten außerdem fest, dass Benutzer nicht mehr genau das tun, was sie tun müssen. Als sie ihre Passwortsammlung nach Länge aufteilten, stellten sie fest, dass fast die Hälfte genau acht Zeichen enthielt.
Mach sie lang
Wir haben das schon einmal gesagt, aber es lohnt sich zu wiederholen. Je länger Ihr Passwort (oder Ihre Passphrase) ist, desto schwieriger ist es für Hacker, es zu knacken. Geben Sie ein Lieblingszitat oder einen Lieblingssatz ein, lassen Sie Leerzeichen weg und Sie haben eine anständige Passphrase.
Ja, es gibt andere Arten von Cracking-Attacken. Anstatt jede einzelne Zeichenkombination zu hacken, werden bei einem Wörterbuchangriff Kombinationen bekannter Wörter gehasht, wodurch der Umfang der Suche erheblich eingeschränkt wird. Aber mit einem ausreichend langen Passwort würde das Knacken mit brachialer Gewalt noch Jahrhunderte dauern.
Der vollständige Bericht schneidet und schneidet die Daten auf verschiedene Arten. Zum Beispiel bestanden über 100.000 der geknackten Passwörter aus sechs Kleinbuchstaben und zwei Ziffern, wie zum Beispiel monkey12. Wenn Sie Kennwortrichtlinien verwalten oder nur daran interessiert sind, bessere Kennwörter für sich selbst zu erstellen, lohnt es sich auf jeden Fall, diese zu lesen.
