100. Tyle prób złamania naszego hasła – według National Institute for Standards and Technology, amerykańskiego odpowiednika naszego Głównego Urzędu Miar – może podjąć cyberprzestępca w okresie 30 dni, zanim usługodawca będzie miał obowiązek zablokować do momentu wyjaśnienia dostęp do naszego konta (przyjmijmy, że zanim zmieniłe, to chodziło mi kąt w sieci, dobra? 🙂 ). Pewnie powiecie, że to mnóstwo i bruteforce’ujący są bez szans? No może niekoniecznie.
Jak myślicie, w ilu próbach przed bruteforcerem poległoby Wasze hasło? Ja się nie liczę, ja mam zboczenie zawodowe, moje łamałoby się latami. Tym niemniej, według badań naukowców z Uniwersytetów w Pekinie i Fujian oraz z brytyjskiego Lancaster University, wystarczy, by atakujący znał niewielką ilość naszych tzw. PII (Personally Identifiable Informations, osobiste informacje identyfikujące), jak np. imię i datę urodzenia, by szansa na odgadnięcie klucza do naszego cyfrowego „ja” wyraźnie wzrosła. Jak wyraźnie? Przy 100 próbach prawdopodobieństo trafienia wyniosło 20%, zaś jeśli atakujący mógł podjąć milion prób, miał 50 procent szans, że któraś z nich zakończy się sukcesem!
Używane przez badaczy rozwiązanie TarGuess w wersjach III i IV korzysta także z tzw. siostrzanych haseł, próbując odgadnąć hasło danego użytkownika na bazie haseł przyporządkowanych do tego samego adresu, odkrytych przy innych wyciekach. Jak myślicie, jak bardzo wzrosło prawdopodobieństwo trafienia przy zaledwie 100 próbach? Ano „nieznacznie” – do 73 procent!
Co zatem zrobić, by uniknąć złamania hasła w opisywany powyżej sposób? Będę się powtarzał do bólu i obawiam się, że do końca świata znajdzie się jeszcze wcale niemała grupa, która się tego nie nauczy:
nie używać PII do budowania haseł
nie dublować haseł przynajmniej w przypadku serwisów, gdzie przechowujemy dane wyjątkowo wrażliwe
To naprawdę proste i wiele nie wymaga.
