Video: [Nhạc chế 16+] - NHỮNG CHỊ ĐẠI HỌC ĐƯỜNG - Hậu Hoàng ft Nhung Phương (Tháng mười một 2024)
Gần một tuần trôi qua mà không có tin tức về việc vi phạm dữ liệu làm lộ hàng triệu hoặc hàng tỷ mật khẩu. Trong hầu hết các trường hợp, những gì thực sự bị lộ là một phiên bản của mật khẩu được chạy thông qua thuật toán băm, chứ không phải mật khẩu. Báo cáo mới nhất từ Trustwave cho thấy băm không giúp ích gì khi người dùng tạo mật khẩu ngu ngốc và độ dài đó quan trọng hơn sự phức tạp trong mật khẩu.
Tin tặc sẽ bẻ khóa @ u8vRj & R3 * 4h trước khi chúng bẻ khóa StantlyPlumpBuckMulligan hoặc ItWasTheBestOfTimes.
Băm nó ra
Ý tưởng đằng sau việc băm là trang web bảo mật không bao giờ lưu mật khẩu của người dùng. Thay vào đó, nó lưu trữ kết quả của việc chạy mật khẩu thông qua thuật toán băm. Băm là một loại mã hóa một chiều. Cùng một đầu vào luôn tạo ra cùng một kết quả, nhưng không có cách nào để chuyển từ kết quả trở lại mật khẩu ban đầu. Khi bạn đăng nhập, phần mềm phía máy chủ sẽ băm những gì bạn đã nhập. Nếu nó khớp với hàm băm đã lưu, bạn vào.
Vấn đề với cách tiếp cận này là những kẻ xấu cũng có quyền truy cập vào các thuật toán băm. Họ có thể chạy mọi tổ hợp ký tự trong một độ dài mật khẩu nhất định thông qua thuật toán và khớp kết quả với danh sách mật khẩu băm bị đánh cắp. Đối với mỗi hàm băm phù hợp, họ đã giải mã một mật khẩu.
Trải qua hàng ngàn thử nghiệm thâm nhập mạng vào năm 2013 và đầu năm 2014, các nhà nghiên cứu của Trustwave đã thu thập được hơn 600.000 mật khẩu băm. Chạy mã băm băm trên các GPU mạnh mẽ, chúng đã bẻ khóa hơn một nửa mật khẩu trong vài phút. Thử nghiệm tiếp tục trong một tháng, tại thời điểm đó họ đã bẻ khóa hơn 90 phần trăm mẫu.
Mật khẩu bạn đang làm sai
Sự khôn ngoan thông thường cho rằng một mật khẩu chứa chữ in hoa, chữ thường, chữ số và dấu chấm câu rất khó bị bẻ khóa. Hóa ra điều đó không hoàn toàn đúng. Đúng, sẽ rất khó để một kẻ giả mạo đoán được mật khẩu như N ^ a & $ 1nG, nhưng theo Trustwave, một kẻ tấn công có thể bẻ khóa mật khẩu đó trong vòng chưa đầy bốn ngày. Ngược lại, việc bẻ khóa một mật khẩu dài như GoodLuckGuessing ThisPassword sẽ cần gần 18 năm xử lý.
Nhiều bộ phận CNTT yêu cầu mật khẩu ít nhất tám ký tự, chứa chữ in hoa, chữ thường và chữ số. Báo cáo chỉ ra rằng, thật đáng buồn, "Password1" đáp ứng các yêu cầu này. Không phải ngẫu nhiên, Password1 là mật khẩu đơn phổ biến nhất trong bộ sưu tập đang nghiên cứu.
Các nhà nghiên cứu của TrustWave cũng nhận thấy rằng người dùng sẽ làm chính xác những gì họ bắt buộc phải làm, không còn nữa. Chia nhỏ bộ sưu tập mật khẩu của họ theo chiều dài, họ thấy rằng gần một nửa chính xác là tám ký tự.
Làm cho họ dài
Chúng tôi đã nói điều này trước đây, nhưng nó chịu lặp lại. Mật khẩu của bạn (hoặc cụm mật khẩu) càng dài thì tin tặc càng khó bẻ khóa. Nhập một trích dẫn hoặc câu yêu thích, bỏ qua khoảng trắng và bạn đã có một cụm mật khẩu đàng hoàng.
Vâng, có các loại tấn công bẻ khóa khác. Thay vì băm mọi tổ hợp ký tự đơn lẻ, một cuộc tấn công từ điển băm kết hợp các từ đã biết, thu hẹp phạm vi tìm kiếm đáng kể. Nhưng với một mật khẩu đủ dài, việc bẻ khóa vũ phu vẫn sẽ mất hàng thế kỷ.
Các báo cáo đầy đủ lát và cắt dữ liệu theo nhiều cách khác nhau. Ví dụ, hơn 100.000 mật khẩu bị bẻ khóa bao gồm sáu chữ cái viết thường và hai chữ số, như khỉ12. Nếu bạn quản lý chính sách mật khẩu hoặc nếu bạn chỉ muốn tạo mật khẩu tốt hơn cho chính mình, chắc chắn nó đáng để đọc.