Паролі не врятують користувачів від злому
Відео: Як Захиститися Від злому Хакерів
Досить давно і довго говорять про те, що з використанням високих швидкостей GPU (графічний процесор, graphics processing unit) підбір паролів істотно прискориться. Але ніхто досягнення цих високих швидкостей чекати не став. Нещодавно швейцарська компанія Objectif Sécurité, що спеціалізується в області безпеки, успішно спробувала використовувати для розкриття паролів комплекс з SSD-дисків (solid-state drive, твердотільні диски) з «райдужними таблицями».
Відео: Зламати айфон одним пальцем
Ще навесні поточного року повідомлялося про те, що використання SSD-дисків забезпечує досягнення швидкості перебору в 300 мільярдів паролів в секунду, що дозволяє зламати навіть складний пароль за кілька секунд. Перевірка показала також, що за допомогою названого методу і програми ophcrack були взяті і перевірені на злом хеші 14 символьних паролів Windows XP. На їх злом треба було від 2 до 11 секунд. Тобто наявність пральний захисту ніяк не позначилося на безпеці ПК.Про ситуацію, що склалася в сегменті пральний захисту, BFM.ru розповів керівник відділу досліджень компанії Passware Олексій Чіліков.
- Більшість сучасних накопичувачів - це всім відомі жорсткі диски (hard-disk drive, HDD). У свою чергу SSD (solid-state drive) використовують принципово іншу технологію, яка не вимагає при обробці інформації ніяких механічно рухомих частин. Основним їх недоліком на даний момент є висока ціна. Найближчим часом, я думаю, вони будуть використовуватися для вирішення досить вузького кола завдань, в яких їх переваги компенсують проблему вартості. Однією з таких задач може вважатися і обробка даних за допомогою «райдужних таблиць».
- Що мається на увазі під терміном «райдужні таблиці»?
- Технологія «райдужних таблиць» являє собою один з варіантів компромісу «час-пам`ять» і дозволяє скоротити перебір варіантів, наприклад, паролів за рахунок використання великих передвичесленням таблиць. В такому випадку атака складається з двох етапів - трудомісткого побудови таблиць, яке може бути виконане заздалегідь на потужному обладнанні, і швидкої атаки на парольний хеш, яка може займати кілька секунд або хвилин на звичайному персональному комп`ютері.
- SSD-диски стануть масовим явищем або залишаться тільки у ентузіастів?
- Масове використання SSD зараз стримується високою ціною, і якщо не відбудеться радикальних технологічних проривів, найближчим часом ситуація залишиться тією ж. Однак для спеціальних завдань вони вже зараз застосовуються в промислових масштабах. В контексті даної задачі можу відзначити, що SSD - це одна з тих технологій, яких нам свого часу при створенні подібних проектів як раз не вистачало.
- Наскільки зросте загроза втрати користувачем контролю над своїми ПК, не кажучи вже про дані?
- Для проведення успішної атаки на основі «райдужних таблиць» самих таблиць недостатньо. Потрібен ще й доступ до парольний хешу користувача. У реальності це, як правило, позначає фізичний доступ до комп`ютера або хоча б до його жорсткому диску. Або віддалений доступ за допомогою шкідливого ПО. В обох випадках мова вже йде про часткову втрату контролю. Фактично, такі атаки для зломщика - швидше засіб «розвинути успіх», ніж «захопити плацдарм». Що стосується доступу до даних, то так, загроза зростає. В першу чергу через практику повторного використання паролів в різних місцях. Ще одна проблема, яку я тут бачу - зростання ефективності «переборних кластерів», використовуваних власниками ботнетів.
- При самому несприятливому розвитку ситуації, яким чином можна боротися з цією «напастю»?
- Грамотна парольний політика плюс набір стандартних заходів безпеки допомагає знизити ризики до мінімуму. Треба вибирати довгий пароль, хоча б 10 символів - букв і цифр, і не використовувати при цьому слова в якості основи для пароля. Якщо користувач не готовий відмовитися від старої доброї Windows XP, то він повинен відключити збереження застарілого LM Hash, використовувати антивірус і фаєрвол для захисту від троянів. І звичайно, необхідний контроль фізичного доступу до комп`ютера.
- Наскільки SSD-диски разом з програмою-хакером можуть впоратися з Windows 7 або ОС від Apple і на основі Linux?
- «Райдужні таблиці» можуть бути ефективно застосовані для розтину тільки хеш-функцій без додаткової рандомізації, але не шифрів. На жаль, парольний захист в Windows заснована саме на хеш-функціях. В unix-подібних системах застосовується додаткова рандомізація, що на кілька порядків збільшує загальну вартість аналогічної атаки. Що стосується Windows 7, то в ній, як і в Vista, виробник відмовився від підтримки старої версії пральних хеш (LM Hash), що призвело до значного зростання стійкості алгоритму. Фактично, старий хеш був вразливий до атак на основі «райдужних таблиць» при будь-якій довжині пароля. Нинішня ж версія (NT Hash), на мій погляд, забезпечує достатню стійкість при випадковому паролі довжиною в 10-12 алфавітно-цифрових символів.
У свою чергу, директор по продуктах компанії «Аладдін Р.Д.» Антон Крячков зазначив, що технологія «райдужних таблиць» представляє собою серйозний інструмент для підбору паролів. Причому використовуватися він може як на благо, наприклад, системним адміністратором для виявлення «слабких» паролів, так і на шкоду - зловмисником, яка заволоділа базою хешірованних паролів користувачів з цільової системи і намагаються підібрати паролі до облікових записів.
«Основну небезпеку представляють зараз онлайн-сервіси з підбору паролів, - розповів Антон Крячков. - Вони є загальнодоступними, багато хто з них безкоштовні, в них застосовується технологія «райдужних таблиць».
Однак значно знизити ризики злому паролів досить просто, вважає Андрій Крячков. Для цього в локальній мережі необхідно створити домен Microsoft Windows, що задіє використання протоколу Kerberos для аутентифікації користувачів, також потрібно встановити високі мінімальні вимоги до паролів (наприклад, не менше 12 символів, використання символів верхнього і нижнього регістра і т. П.). Всі інші рекомендації зводяться, по суті, до обов`язкової аутентифікації користувачів тільки по облікового запису в домені - і ніяких локальних облікових записів на ПК користувачів.
Відео: Злом WiFi 100% 2017 | НЕ Брутфорс! {Wifiphisher}
Поділися в соціальних мережах:
Схожі
- Password safe
- Wibr +
- Safeincloud password manager
- Aircrack-ng програма для злому wi-fi
- Proactive windows security explorer
- Популярні паролі. Топ-30 паролі до wifi, вк, mail, однокласникам
- У чому відмінність cpu від gpu
- Найпопулярніші паролі 2017
- Кращі програми для злому паролів
- Чому паролі стали слабкими
- Як зламати пароль в excel
- Як зламати пароль від wi-fi
- Прості поради по більш розумного вибору і використанню паролів
- Комп`ютерна безпека
- 50% Wi-fi мереж можна зламати за кілька секунд
- Elcomsoft system recovery professional скине існуючі паролі
- Завантажити wifi master key
- Password peeper v.1.0 просмоторщик прихованих паролів
- Шифрування паролів користувачів на сайті
- Генератор паролів на php
- Wifi crack для брутфорса паролів