Ваши пароли отмечены зеленым цветом? |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
МЕНЮ Главная страница Поиск Регистрация на сайте Помощь проекту Архив новостей ТЕМЫ Новости ИИ Голосовой помощник Разработка ИИГородские сумасшедшие ИИ в медицине ИИ проекты Искусственные нейросети Искусственный интеллект Слежка за людьми Угроза ИИ ИИ теория Внедрение ИИКомпьютерные науки Машинное обуч. (Ошибки) Машинное обучение Машинный перевод Нейронные сети начинающим Психология ИИ Реализация ИИ Реализация нейросетей Создание беспилотных авто Трезво про ИИ Философия ИИ Big data Работа разума и сознаниеМодель мозгаРобототехника, БПЛАТрансгуманизмОбработка текстаТеория эволюцииДополненная реальностьЖелезоКиберугрозыНаучный мирИТ индустрияРазработка ПОТеория информацииМатематикаЦифровая экономика
Генетические алгоритмы Капсульные нейросети Основы нейронных сетей Распознавание лиц Распознавание образов Распознавание речи Творчество ИИ Техническое зрение Чат-боты Авторизация |
2024-05-07 11:37 Это здесь! Обновление таблицы паролей Hive Systems от 2024 года, которое было показано и написано в новостях, опубликовано университетами и распространенотысячами компанийпо всему миру. Как мы составили эту таблицу и что стоит за математикой?Читай дальше! Не читатель? Следите за нашим видеообзором стола этого года в предстоящем выпуске Hive Live в мае ! Ищете версии с высоким разрешением для загрузки? СКАЧАТЬ СЕЙЧАС Глядя на пароли в 2024 году 12 мин. С 2020 года мы провели множество исследований, чтобы разработать и представить таблицу паролей Hive Systems , которая показывает, сколько времени требуется хакеру для подбора вашего пароля. Но для тех из вас, кто хочет узнать больше о том, как мы делаем стол – вы попали по адресу! Здесь задействовано гораздо больше, чем просто красивые цвета, и хотя данные хорошо вписываются в таблицу выше, все не так просто, как кажется. Итак, давайте обсудим данные, наши предположения, и, о, вы увидите МНОГО вариантов таблицы паролей (включая тот, который полностью фиолетовый ?).
— Так как ты сделал стол? Мы испытываем небольшую ностальгию , поэтому давайте начнем с оглядывания назад на то, как таблица паролей менялась с течением времени (в том числе и в 2024 году):
Теперь, когда мы разобрались с этим, давайте поговорим о «хешировании». В контексте паролей «хэш» — это зашифрованная версия текста, которую можно воспроизвести, если вы знаете, какое программное обеспечение для хеширования использовалось. Другими словами, если ваш друг хэширует слово «пароль», используя хеширование MD5, выходной хэш будет 5f4dcc3b5aa765d61d8327deb882cf99 . Теперь, если вы хешируете слово «пароль», используя хеширование MD5, вы также получите 5f4dcc3b5aa765d61d8327deb882cf99 ! Вы и ваш друг тайно знаете, что слово «пароль» — это секретный код, но любой, кто наблюдает за вами, видит просто 5f4dcc3b5aa765d61d8327deb882cf99 . Пароли хранятся на серверах в виде таких хешей, а не в виде обычного текста, например «пароль». Таким образом, если кто-то украдет базу данных, все, что он сможет увидеть, — это хэши, а не пароль, который их создал. Вы не можете сделать обратное. Хэш-дайджест, такой как 5f4dcc3b5aa765d61d8327deb882cf99, не может быть вычислен для получения слова «пароль», которое использовалось для его создания. Программное обеспечение для хеширования по своей сути является улицей с односторонним движением. Хакеры решают эту проблему путем «взлома» паролей. В этом контексте « взлом » означает составление списка всех комбинаций символов на вашей клавиатуре и последующее их хеширование. Затем вы ищете совпадения между списком и взломанной базой данных хэшей паролей. Вы можете сделать это на любом компьютере, но это будет намного быстрее, если вы ускорите процесс с помощью мощной видеокарты. Видеокарты — это те платы, которые торчат из большой зеленой платы вашего компьютера. Помимо прочего, на этой специальной плате установлен графический процессор. Графический процессор — это блестящая квадратная плитка на вашей видеокарте, на которой может быть написано NVIDIA или AMD. Графический процессор означает графический процессор – они были созданы для того, чтобы изображения быстрее загружались на экране вашего компьютера (и чтобы можно было играть в отличные видеоигры). Как оказалось, они также отлично умеют вычислять хеши. Популярное приложение для хеширования называется Hashcat . Hashcat включает в себя программное обеспечение для хеширования, такое как bcrypt, и позволяет вам попробовать не только bcrypt, но и тысячи других, и посмотреть, насколько быстро он смог это сделать. Обычно мы говорим «хэш-функция» вместо «хэш-программное обеспечение». При покупке видеокарты или облачного графического процессора вам предоставляется «вычислений в секунду», обычно в «операциях с плавающей запятой в секунду» ( FLOPS ). Показатель FLOPS не учитывает уникальные свойства алгоритмов хеширования, состав символов пароля и оборудование «вокруг» видеокарты, такое как материнская плата, процессор и оперативная память. К счастью, hashcat позволил экспертам по восстановлению паролей легко автоматизировать тестирование своего оборудования на реальных упражнениях по хешированию, а затем записать результаты, чтобы поделиться ими. Результатом является постоянно растущий набор данных о наблюдаемой производительности хеширования с использованием различного оборудования и подходов к хешированию, называемых «бенчмарками». «Так насколько же это отличается с точки зрения времени?» Предполагая, что используется 8-значный пароль, рекомендованный NIST : Максимальное время, необходимое для взлома случайно сгенерированных 8-значных хешей паролей MD5 различной сложности на различном оборудовании. Максимальное время, необходимое для взлома случайно сгенерированных 8-значных хешей паролей bcrypt, составляет 32 итерации различной сложности на различном оборудовании. Таким образом, даже с bcrypt с сомнительной выгодой мы все равно говорим о максимуме в 5 дней, если у вас много денег. Но для большинства бюджетов срок до 12 лет кажется приличным, если вы также меняете пароль, и он генерируется случайным образом. «Так как же вы выбрали только один из них для таблицы паролей 2024 года?» Мы рассмотрели утечки данных паролей с 2007 года по настоящее время, сообщает HaveIBeenPwned . Что касается количества взломанных учетных данных, независимо от источника, вот как оно выглядит по состоянию на апрель 2024 года: Количество взломанных паролей независимо от источника, окрашенных по типу хеша. Количество взломанных наборов данных паролей, раскрашенных по типу хеша. MD5 доминировал несколько лет, но bcrypt лидировал в 2020, 2021, 2023 годах и снова в 2024 году. Решения для хранения паролей, такие как LastPass, 1Password и Bitwarden, используют метод хеширования, называемый PBKDF2, с добавлением сильной хэш-альтернативы MD5, называемой SHA-256. Даже NIST рекомендует PBKDF2 SHA-256. Но, как мы видели, «в дикой природе» все выглядит иначе. Взломанные хэши паролей от Dropbox, Ethereum, MyFitnessPal и DataCamp использовали bcrypt вместо функции получения ключей, такой как PBKDF2. Bcrypt также кажется более безопасным вариантом с точки зрения ресурсов, необходимых для его взлома. В результате таблица паролей Hive Systems 2024 года основана на мощности 12 графических процессоров RTX 4090 против bcrypt. «Но подождите, а что случилось с временем, увеличившимся по сравнению с прошлым годом?» Хороший вопрос и отличная память! В прошлом году мы использовали хэш пароля MD5. Как мы только что отметили выше ?, мы не видим большого количества нарушений MD5, что, вероятно, означает, что веб-сайты и компании используют его меньше (хорошая вещь!) Таким образом, мы обновили таблицу паролей в этом году для bcrypt, который более надежный хэш пароля, чтобы он снова «подтолкнул фиолетовый» - но это, вероятно, не продлится долго, поскольку в ближайшие годы вычислительная мощность увеличится. Если вы технически подкованы и любите шифрование, как мы, таблица паролей этого года рассчитана с учетом рабочего коэффициента 32 для bcrypt. И хотя вы можете сказать: «Это не лучшая практика в отрасли/не рекомендуется OWASP», снова и снова мы видим реальные реализации и данные об утечках, которые указывают на небезопасные конфигурации и реализации хэшей паролей, и в этом году это не так. другой! Если в следующем году ситуация изменится, мы обновим коэффициент работы! «Хорошо, понятно, но что, если мой пароль ранее был украден, использует простые слова или я повторно использую его между сайтами?» В нашей таблице паролей основное внимание уделяется идее, что хакер работает в ситуации «черного ящика» и ему приходится начинать с нуля, чтобы взломать ваш хэш, чтобы показать «худший случай» или «максимально необходимое время». Большинство хакеров расставляют приоритеты, над какими словами и строками символов они будут работать в первую очередь, используя радужные таблицы, словарные атаки и ранее украденные хеши. Если ваш пароль был частью другого взлома или использует словарные слова, ваша таблица паролей выглядит следующим образом: Таблица паролей, если ваш пароль ранее был украден, использует словарные слова или если вы повторно используете его между веб-сайтами. «А как насчет комикса xkcd о парольных фразах?» Во-первых, можете ли вы поверить, что этот комикс был 13-летней давности ?. Наша таблица паролей не соответствует количеству символов в примере с xkcd (25) просто потому, что вам нужно где-то нарисовать линию размером с изображение. Для статистики их пароля «correcthorsebatterystaple. Но для любопытных эта таблица и соответствующая статистика будут выглядеть так: Предположим, что bcrypt на 8 процессорах A100: 406 ноллионов лет (это МНОГО нулей!) НО пароль xkcd не является случайно сгенерированным паролем. Парольные фразы — это строки известных словарных слов. Это означает, что время «взлома» составит менее 14 квадриллионов лет, потому что, выбирая, какие комбинации вещей взламывать в первую очередь, мы можем начать с относительно коротких, легко запоминающихся слов! Этот процесс можно ускорить еще больше, если мы знаем что-нибудь о человеке и можем сосредоточиться на словах из тем, которые, как мы подозреваем, его интересуют. Его можно даже сузить, зная, какой генератор кодовых фраз или набор игральных костей он использовал. Взлом парольных фраз по-прежнему займет много времени, но далеко не так долго, как полностью случайно сгенерированные строки той же длины. Даже в этом случае, если парольные фразы позволят вам получить такое большее количество символов, преимущества могут перевесить риски. Для получения дополнительной информации и хорошего объяснения комикса xkcd. «Должен ли я доверять LastPass?» Вам следует выполнить оценку рисков и убедиться, что ваша техника моделирования рисков включает моделирование риска самих мер безопасности ( попробуйте использовать Derive, чтобы помочь! ) . Времена, когда считалось, что технологии безопасности приносят только пользу и никакого риска, прошли! Прочтите нашу публикацию ACT по этой теме, чтобы помочь вам принять решение. Но если у вас нет для этого ресурсов, как сказал доверенный специалист по безопасности Дэниел Мисслер в книге « Моя философия и рекомендации по поводу нарушений LastPass» , «Короче говоря, все компании могут быть взломаны, включая такие компании, как LastPass, и гораздо лучше иметь ваши самые конфиденциальные активы в крупной компании, которая располагает почти бесконечными ресурсами безопасности, которые можно обнаружить и отреагировать, когда это неизбежно произойдет». с чем я в целом согласен как с эвристикой, если у вас нет времени на правильную оценку риска. «Хорошо, но что делать с этими огромными числами?» В разных странах, регионах и научных школах используются разные сокращения для чисел. В таблице паролей используется следующее:
Ограничения нашей работы
Источник: www.hivesystems.com Комментарии: |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||