Analiza łamania haseł

Hive prowadzi to badanie od kilku lat i do tej pory jego celem były hasła zaszyfrowane za pomocą powszechnie używanego algorytmu MD5. Jednak w wielu przypadkach skróty MD5 można łatwo złamać, a organizacje coraz częściej zwracają się w stronę bezpieczniejszych algorytmów, szczególnie Bcrypt.

Bcrypt nie jest najbezpieczniejszy, ale jak wynika z danych zebranych przez Hive z usługi powiadamiania o naruszeniach „Have I Been Pwned„, jest on w ostatnich latach najczęściej używany.

Właśnie dlatego Hive zdecydowało się przeprowadzić testy pod kątem skrótów haseł Bcrypt, korzystając z kilkunastu procesorów graficznych NVIDIA GeForce RTX 4090.

Testy wykazały, że każde hasło składające się z siedmiu znaków można złamać w ciągu kilku godzin. W zeszłorocznych testach słabe, 11-znakowe hasła były natychmiast łamane przy użyciu ataków brute force. Dzięki Bcrypt złamanie tego samego 11-znakowego hasła zajmuje teraz 10 godzin.

Analiza przeprowadzona przez Hive wykazała, że silne hasła (zawierające cyfry, wielkie i małe litery oraz symbole) oraz dość mocne hasła (zawierające wielkie i małe litery) są trudne do złamania, jeśli mają więcej niż osiem znaków — złamanie takich haseł zajmuje miesiące lub lata, jeśli są chronione za pomocą Bcrypt.

Badanie Hive zakłada, że atakujący uzyskał skrót powiązany z losowo wygenerowanym hasłem i podejmuje próbę jego złamania.

„Hasła generowane nielosowo są znacznie łatwiejsze i szybsze do złamania, ponieważ ludzie są dość przewidywalni. W związku z tym ramy czasowe w tych tabelach służą jako punkt odniesienia dla «najlepszego przypadku». Hasła, które nie zostały wygenerowane losowo, zostałyby złamane znacznie szybciej” – wyjaśniła firma.