Te tabele ładnie pokazują, jaką różnicę robi użycie dobrego algorytmu haszującego, w porównaniu z przestarzałym.
Warto też podzielić te teoretyczne czasy łamania haseł przez 2, bo zwykle znajduje się właściwą kombinację po sprawdzeniu trochę ponad połowy możliwości (paradoks dnia urodzin).
Trzeba pamiętać że to czasy łamania haseł pod warunkiem bezpośredniego i nieograniczonego dostępu do bazy danych. Żaden normalny serwis internetowy na przykład, nie pozwoli na wysyłanie tysięcy żądań na sekundę.
Ale przecież po kilku błędach dostęp do konta jest czasowo blokowany. W 2022 roku jaki serwer pozwoli na miliard prób na sekundę? hmm?
Poza tym samo hasło to nie wszystko, trzeba znać jeszcze login, druga sprawa jak ktoś nie ma dwustopniowego systemu logowania z potwierdzeniem minimum na telefon komórkowy jest po prostu idiotą (mówię tu o ważnych kontach nie do gry kucyk Pony)
Polecam hasła typu "PutinToCh**iMorderca666", łatwiejsze do zapamiętania niż zlepek losowych literek i cyferek, a jest wystarczająco długie i ma sporo symboli. :)
Konto Google i FB mam zabezpieczone kluczami U2F więc (raczej) w tych wypadkach łamanie haseł mi nie straszne. Zastanawiam się jeszcze nad rozpoczęciem używania jakiegoś menadżera haseł obsługującego klucze sprzętowe.
Logowali się tysiąc razy do jednego konta bo nie kumam, jak doszli do tego ze to akurat to hasło .
Warto mieć na uwadze to, że sama długość i rodzaj znaków to nie wszystko. Liczy się bardzo również treść hasła - gdzieś czytałem, że do faktycznego łamania hashów używa się specjalnych słowników (wielo-gigabajtowych!), dzięki którym łamanie można przeprowadzić o wiele, wiele szybciej.
Dlatego hasło złożone z losowych znaków jest raczej najbezpieczniejszym rozwiązaniem.
A jeszcze bezpieczniejszym rozwiązaniem jest zmiana hasła jak tylko dojdzie do jego wycieku.
Według tej tabelki... 3000 lat. I to jednego. Bo do każdego serwisu mam inne.
Polecam Bitwarden i używanie losowo generowanych haseł, inne na każdej stronie.
Czyli mój mail Google absolutnie bezpieczny jeżeli sprawy nie zawali sam wujek Google... Albo nie doznam urazu głowy haha 39 znaków mam w unikalnym hasle do Gmaila. Duże i małe litery plus cyfry ^^ aż dziw bierze że człowiek to pamięta.
MD5 nikt poważny już nie używa...
Zawsze powtarzali, nie ważne jak skomplikowane hasło masz, ważniejsze jest by było długie, wtedy może być nawet prostsze.
Wtedy nawet z MD5 nikt nie da rady.
Ale i tak można mieć pecha i gdzieś ktoś zapisze żenująco w plain text hasła, także na to rady nie ma...
Dlatego najlepiej mieć 2 hasła, do spraw ważnych i ważniejszych, a przede wszystkim aktywować 2FA gdzie się da, bo wtedy mogą znać nawet wasze hasło i nie zrobią i tak nic bez waszego smarta (2FA na maila nie polecam)
Dodam może że nie poleca się stosowania generatorów haseł. Lepiej samemu klepać i powstawiać znaki specjalne.
Co do haseł i ich bezpieczeństwa.
Swoją marną kartą graficzną, czy generalnie tym co możesz sobie kupić (zakładając, że masz fundusze) w warunkach domowych niewiele zdiziałasz i nie ma to sensu ekonomicznego.
Kiedyś jeszcze na studiach się w to bawiłem. Komputery były słabsze, metody zabezpieczeń również.
I tak np. jedno z dawnych zabezpieczeń popularnych dokumentów można było po prostu usunąć, lub obejść (a były podobno szyfrowane - chyba sam nagłówek szyfrowało).
Tak samo jest z hasłami w Internecie. Hasła poniżej 16 znaków nie są w mojej opinii bezpieczne. Powyżej 16 znaków też nie dają 100% bezpieczeństwa.
Generalnie poza tzw brute force (liczenie po kolei hashy) istnieją metody (mniej lub bardziej skuteczne łamania prawie wszystkiego.
1. Jest coś takiego jak tablice tęczowe - tak naprawdę hashy podstawowych nikt już od dawna nie liczy. Opowiedzią na tablice tęczowe jest solenie haseł.
2. Łamanie WPA2 to nie tylko KRACK. Wspomniana metoda dawała atakującemu praktycznie natychmiastowy dostęp do atakowanej sieci.
3. Sam byłem zdziwiony, że da się złamać randomowe hasła o długości 30+ znaków. Skuteczność nie jest porażająca, ale jednak się da. Największym przyjacielem hakera jest matematyka, metody numeryczne i statystyka z probabilistyką.
4. Swego czasu we wszystkich mediach (o dziwo nawet w popularnej prasie komputerowej) polecano długie proste w zapamiętaniu hasła np. WielkiSpasionyUkradłSamochód (ewentualnie wariację z jakimś znakiem specjalnym). To nie jest bezpieczne hasło.
Temat można ciągnąć.
I teraz wniosek.
Zakładająć że jesteś przeciętnym Kowalskim, bądź Nowakiem jeżeli stosujesz bardzo podstawowe środki ostrożności zmniejszasz ryzyko wycieku danych praktycznie do zera.
Większość wielkich wycieków w sieci powodowana jest przez rażące niedbalstwo zarządcy danych, administratora systemu informatycznego, bądź samych devów.
Jako tzw. przeciętny obywatel nie masz większych szans na skuteczną obronę w momencie kiedy sam staniesz się celem ataku (nikt tutaj się nie bawi w łamanie haseł, klucz sprzętowy niewiele da). Tutaj druga kwestia - jako przeciętny obywatel nie posiadasz nic co by uzasadniało wzięcie ciebie "pod lupę".
W przypadku ataku na twój komputer najlepszym wyjściem jest odłączenie kabla sieciowego. To samo zresztą jest najlepszym sposobem na przerwanie ataku na sieć firmową (tzw. damage control).
A nie wystarczyło by poprawić a w zasadzie pogorszyć system sprawdzania hasła i np jedno hasło byłoby sprawdzane w ciągu 10 sekund. Wtedy złamanie hasła składającego się z jednej cyfry zajęłoby nawet do 100 sekund a im dłuższe hasło tym wiadomo. Jak to jest że haker ma możliwość wysyłania kilku milionów haseł na sekundę? System powinien przyjmować jedno na 10 sekund.
Ogólnie to życzę powodzenia w łamaniu moich haseł???? zwykle mam od 50-128 znaków. W tym duże małe litery, czyfry i znaki specjalne. Nikomu nie opłaca się hakować takie długie hasła
cholera trzeba se hasła pozmieniać na więcej niż 18, a to trzeba litera | liczba | litera ? czy można w jakiej kolwiek kolejności
Ja kiedyś popełniłem dziwny błąd i mój nick na twitterze był ten sam co hasło.
Przez jakieś dwa lata moje konto to był zbiór cyfr i liter które było moim hasłem widoczne dl każdego :D
Dlatego ja używam Yubico YubiKey 5C NFC U2F i nawet po złamaniu hasła nikt nie wejdzie na konto. Bo na te wszystkie aplikacje do weryfikacji czy SMSy już znaleźli sposoby, a przy fizycznym kluczu Hakery mogą się cmoknąć.
PS: to nie jest reklama i nie otrzymałem żadnego wynagrodzenia za ten komentarz.
Polecam także klucze innych firm. :)
Komputer kwantowy z 100000 qubitów i 99,99999 skuteczności, wszystkie hasła poniżej 1s.
używam jednego hasła ma 27 znaków małe i duże litery + cyfry i znaki specjalne :) to ile czasu zajmie jego złamanie ?
GRYOnline.pl:
tvgry.pl:
