Οι σύντομοι και απλοί κωδικοί πρόσβασης μπορούν να σπάσουν μέσα σε λίγα δευτερόλεπτα. Ενώ οι μακροσκελείς και περίπλοκοι; Σε τρισεκατομμύρια χρόνια.
Αυτό προκύπτει από την πρόσφατη μελέτη της Hive Systems, μιας εταιρείας κυβερνοασφάλειας με έδρα το Ρίτσμοντ της Βιρτζίνια, που αναλύει πόσο χρόνο θα χρειαζόταν ο «μέσος χάκερ» για να σπάσει τους κωδικούς πρόσβασης που προστατεύουν τους πιο σημαντικούς διαδικτυακούς λογαριασμούς μας.
Τα ευρήματα υποδεικνύουν ότι ακόμη και ένας κωδικός πρόσβασης οκτώ χαρακτήρων - με ένα καλό μείγμα αριθμών, κεφαλαίων γραμμάτων, πεζών γραμμάτων και συμβόλων - μπορεί να σπάσει μέσα σε οκτώ ώρες από τον μέσο χάκερ. Οτιδήποτε μικρότερο ή λιγότερο περίπλοκο θα μπορούσε να σπάσει αμέσως, ή μέσα σε λίγα λεπτά, «από οποιονδήποτε χάκερ που ξέρει τι κάνει, ακόμη και αν χρησιμοποιεί μόνο αρκετά βασικό εξοπλισμό.»
Εν τω μεταξύ, ένας κωδικός πρόσβασης που έχει μήκος 18 χαρακτήρων - και ο οποίος χρησιμοποιεί ένα μίξη αριθμών, πεζών γραμμάτων, κεφαλαίων γραμμάτων και συμβόλων - θα μπορούσε «σπάσει» σε έως και 438 τρισεκατομμύρια χρόνια από τον μέσο χάκερ, σύμφωνα με την Hive Systems.
Η εταιρεία συνέταξε ένα γράφημα με χρωματική αντιστοίχιση για να απεικονίσει πόσο γρήγορα θα μπορούσαν να παραβιαστούν διαφορετικοί κωδικοί πρόσβασης, ανάλογα με το μήκος τους και τη χρήση ποικίλων χαρακτήρων, και πώς οι χρόνοι αυτοί έχουν μειωθεί από το 2020 χάρη στις υψηλότερες ταχύτητες επεξεργασίας:
Τα ευρήματα επιβεβαιώνουν τους εμπειρογνωμόνες σε ιδρύματα όπως το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας, που συμβουλεύουν να επιλέγουμε μεγάλους, σύνθετους κωδικούς πρόσβασης με τουλάχιστον οκτώ χαρακτήρες.
Για τη μελέτη, η Hive Systems πραγματοποίησε μία σειρά δοκιμών για να προσδιορίσει πόσο γρήγορα ο μέσος χάκερ - δηλαδή κάποιος που χρησιμοποιεί εξοπλισμό που μπορεί να προμηθευτεί ο καθένας - έναν επιτραπέζιο υπολογιστή με μια «κορυφαία» κάρτα γραφικών - μπορεί να σπάσει κωδικούς πρόσβασης διαφορετικού μήκους και πολυπλοκότητας.
Σε ανάρτηση στο facebook, οι ερευνητές της εταιρείας εξηγούν πώς μπορούν να παραβιαστούν οι κωδικοί μας. Όλα ξεκινούν με μια διαδικασία που ονομάζεται hashing, μια αλγοριθμικά καθοδηγούμενη διαδικασία που χρησιμοποιούν οι ιστότοποι για να αποκρύψουν τους αποθηκευμένους κωδικούς σας από κακόβουλους χάκερ.
Αν συνδέσετε τη λέξη "password" σε ένα ευρέως χρησιμοποιούμενο «λογισμικό κατακερματισμού», που ονομάζεται MD5, θα λάβετε αυτή τη σειρά χαρακτήρων: “5f4dcc3b5aa765d61d8327deb882cf99.” Η ιδέα είναι ότι αν οι χάκερς εισβάλουν στον διακομιστή ενός ιστότοπου για να βρουν λίστες με αποθηκευμένους κωδικούς πρόσβασης, θα δουν μόνο ανάκατα συνονθύλευματα γραμμάτων και αριθμών. Φυσικά, δεν θα πρέπει να χρησιμοποιείτε τη λέξη "password" ως κωδικό πρόσβασης. Στην πραγματικότητα, είναι ένας από τους πιο συνηθισμένους κωδικούς πρόσβασης που διαρρέουν στον σκοτεινό ιστό.
Οι κατακερματισμένοι κωδικοί πρόσβασης είναι μη αναστρέψιμοι, επειδή δημιουργούνται με αλγόριθμους μονής κατεύθυνσης. Αλλά οι χάκερ μπορούν να δημιουργήσουν λίστες με κάθε πιθανό συνδυασμό χαρακτήρων στο πληκτρολόγιό σας και στη συνέχεια, χρησιμοποιώντας τα πιο διαδεδομένα προγράμματα λογισμικού, να κατακερματιστούν οι ίδιοι αυτοί οι συνδυασμοί.
Σε αυτό το σημείο, οι χάκερς χρειάζεται μόνο να αναζητήσουν αντιστοιχίες στη λίστα τους για να προσδιορίσουν τους αρχικούς σας κωδικούς πρόσβασης.
Πρόκειται για μια περίπλοκη διαδικασία, η οποία όμως μπορεί εύκολα να πραγματοποιηθεί από οποιονδήποτε έμπειρο χάκερ με εξοπλισμό που είναι διαθέσιμος στο εμπόριο, σημειώνει η Hive Systems. Γι' αυτό το λόγο, η καλύτερη άμυνά σας είναι να χρησιμοποιείτε μεγάλους και περίπλοκους πρόσβασης που χρειάζονται περισσότερο χρόνο για να σπάσουν.
Η έκθεση συνιστά επίσης να μην ανακυκλώνετε κωδικούς πρόσβασης για πολλούς ιστότοπους. Αν το κάνετε αυτό και οι χάκερ καταφέρουν να σπάσουν τον κωδικό πρόσβασής σας για έναν ιστότοπο, τότε «θα περάσετε άσχημα», γράφει η εταιρεία.
Όπως είναι κατανοητό, μπορεί να μην θέλετε να θυμάστε κωδικούς πρόσβασης 18 χαρακτήρων κάθε φορά που συνδέεστε σε έναν διαδικτυακό λογαριασμό. Εξάλλου, ένας κωδικός πρόσβασης που χρειάζεται τρισεκατομμύρια χρόνια για να σπάσει δεν είναι πολύ χρήσιμος αν σας παίρνει επίσης πάρα πολύ χρόνο για τον θυμηθείτε.
Αλλά ακόμη και ένας κωδικός πρόσβασης με 11 χαρακτήρες - και πάλι, χρησιμοποιώντας έναν συνδυασμό αριθμών, κεφαλαίων και πεζών γραμμάτων και συμβόλων - θα μπορούσε να πάρει στους χάκερς 34 χρόνια για να τον σπάσουν, σύμφωνα με τις εκτιμήσεις της Hive Systems. Και αυτό είναι σίγουρα καλύτερο από οκτώ ώρες ή λιγότερο.