Ręce mi opadły... Swoją drogą ciekaw jestem, jaki byłby wynik takiego badania przeprowadzonego w Polsce, ale jeśli chodzi o Amerykanów to wygląda na to, że kwestie edukacji bezpieczniackiej w ich firmach wciąż są w powijakach :( No bo jak inaczej wytłumaczyć sytuację, gdy podczas dwóch lat testów penetracyjnych w tamtejszych korporacjach audytorzy z firmy Trustwave byli w stanie złamać... niemal 92 procent haseł? Tak, to nie pomyłka - 576 533 z 626 718 haseł zostało złamanych wyłącznie przy użyciu niewielkiej listy... najpopularniejszych haseł z poprzednich lat. Masakra po prostu :(
Jak wyglądały łamane hasła? Oczywiście rzadko kiedy można było spotkać takie, którego długość przekraczała wymagane przez większość polityk bezpieczeństwa 8 znaków. No ewentualnie w przypadku, gdy rzeczona polityka wymagała wielkich i małych liter oraz cyfr - wtedy idealne okazywało się hasło... Password1, które w klasyfikacji popularności zajęło niechlubne pierwsze miejsce. Pewnie po 30 dniach zmieniali na Password2, potem Password3, i tak dalej... Inne w czołówce wcale nie były trudniejsze.
Jak trudno złamać takie hasła cyber-przestępcy? Moc obliczeniowa karty graficznej AMD Radeon 790 pozwala na porównanie z podaną bazą 17,3 miliarda hashy kryptograficznych. Aha, byłbym zapomniał - robi to w ciągu jednej sekundy. Co ciekawe, jeśliby użyć tej maszyny do złamania hasła, składającego się z ośmiu losowych znaków wszystkich czterech kategorii (wielkie i małe litery, cyfry, znaki specjalne), zajęłoby jej to niecałe cztery dni. A 28 znaków stanowiących zdanie, tylko z usuniętymi spacjami? Ponad 17,5... roku! Nie przesadzałbym jednak z zaufaniem do takiej metody tworzenia haseł, bowiem bardziej wyszukane "kombajny" do łamania haseł korzystają również z tego podejścia...
To jak tam - kto ma jeszcze hasło "Haslo123"?
Image via Creative Commons