epoca parolelor a apus

Marţi, 4 Iunie 2013 | 4 Comentarii

Puterea de calcul creşte exponenţial, inclusiv cea aflată la dispoziţia oamenilor cu foarte mult timp liber, generic denumiţi “hackeri”. Şi uite aşa se ajunge ca un HASH al unei parole să poată fi “spart” în câteva zeci de minute. Şi asta chiar dacă parola iniţială are 16 caractere. Metoda nu este sofisticată deloc, nu trebuie minte – ţinând cont că se testează prin forţă brută toate parolele posibile. Trebuie doar acces la resurse de calcul foarte puternice.

hash_crack_prices

Acces care costă relativ puţin. Urmează vremuri grele şi identificarea unui alt sistem de autentificare care să înlocuiască aceste parole este prioritate zero pentru lumea IT.

Google – şi nu numai, lucrează la sisteme care să înlocuiască parola.

google_id_ring

4 comentarii la “epoca parolelor a apus

  1. Adrian a comentat:

    Dupa cum am vazut mai toate serviciile online au inceput sa aiba si secondary authentication ( mobil, sau coduri pregenerate ) pe langa parola. Deci cand spargi parola prin brute force, esti abia la jumatatea drumului. Totusi …nu inteleg ceva, poate ma puteti lamuri, cum folosesti brute force aplicata pe un server care la “n” parole gresite blocheaza accesul? Ceva imi scapa…

    In alta ordine de idei…google, facebook, ( chiar si yahoo mai recent ) au inceput introducerea unei noi variabile: si anume “trusted computer” , practic logarea de pe un IP cunoscut…de pe care te-ai mai logat recent…sau in mod curent. Cand schimbi orasul/tara automat cerintele pentru login sunt mai drastice ( intra automat in functiune secondary auth. ) sau pass phrase-uri.

    Iti place comentariul? Thumb up 0 Thumb down 0

    Răspunde
    1. omrau.ro Post author a comentat:

      E simplu: pe server nu se stocheaza parola in clar, ci un HASH care e generat cu o functie care are ca variabila de intrare parola ta. Se stocheaza acel HASH. Cand te loghezi, se calculeaza acel HASH pentru parola introdusa de tine si daca bate cu HASH-ul stocat, esti declarat castigator. Problema e ca acele HASH-uri pot fi furate prin diverse metode, XSS, etc. Unii au pierdut toate HASH-urile – se pare ca ROTLD a patit asa, dar si altii mai spalati au patit-o (Twitter, Yahoo, etc.)

      Iti place comentariul? Thumb up 2 Thumb down 0

  2. Mihai a comentat:

    Nu a apus deloc. La ce bun sa poti sa incerci 7 miliarde de parole pe secunda cand eu pot sa pun pe server sa te limiteze la incercatul a maxim 3 parole pe minut. Si sa-ti dea ban la 10.
    Alarma falsa.

    Iti place comentariul? Thumb up 0 Thumb down 0

    Răspunde

Ai o altă opinie? O poți scrie aici!