Íme, egyedi megfogalmazásban: Ennyi időre van szüksége egy hackernek ahhoz, hogy megfejtse a jelszavakat – de van mód arra, hogy a lehetőségeit minimálisra csökkentsd!
Az, hogy minden webhelyen olyan jelszót kell kitalálnod, amely megfelel a szimbólumkövetelményeknek, sok gondot okozhat, de ennek jó oka van. Természetesen minél hosszabb a jelszavad, annál több időbe telik egy hackernek, hogy kitalálja.
A Hive Systems nevű kiberbiztonsági vállalat jelszótáblázata alapján pontosan kiszámítható, mennyi időbe telik egy adott jelszó feltörése. Például egy öt karakterből álló jelszó, amely számokat, valamint nagy- és kisbetűket tartalmaz, csupán két órát igényelne a hackerek részéről. Ezzel szemben egy 18 karakterből álló jelszó, amely szintén számokat, szimbólumokat, valamint nagy- és kisbetűket használ, körülbelül 463 kvintillió (!) évet venne igénybe a feltöréshez - számol be erről a New York Post.
A jelszótáblázatot először 2020-ban készítették el, hogy bemutassák, milyen gyorsan tud egy hacker "brute-force" módszerrel feltörni egy jelszót - a Howsecureismypassword.net adatai alapján. A brute force módszer egy olyan jelszótörési technika, amikor a hacker minden lehetséges kombinációt kipróbál, amíg meg nem találja a helyes jelszót.
A szakértők először azt vizsgálták meg, hogy egy úgynevezett "hash-elt" jelszó mennyire áll ellen egy feltörési kísérletnek - ez függ a jelszó hosszától, bonyolultságától, a használt hash algoritmustól, valamint a támadó által alkalmazott hardvertől is.
A "hash-elt" jelszó egy olyan titkosított formája a jelszónak, amely nem olvasható vissza közvetlenül. Ez a folyamat során az eredeti jelszó egy összekevert változata jön létre. Bár a hash-elt jelszó nem visszafejthető, ha ismerjük a használt hash-algoritmust, elvileg újra létrehozhatjuk ugyanazt a hash-t, feltéve, hogy azonos jelszót alkalmazunk.
A Hive Systems szakértői elemezték a HaveIBeenPwned által 2007-től mostanáig jelentett jelszókiszivárgásokat. A táblázat azon az elképzelésen alapul, hogy a hacker úgynevezett "feketedoboz" helyzetben dolgozik - vagyis teljesen a nulláról indul, és semmilyen előzetes információval nem rendelkezik a jelszóról.
Ez a szöveg azt tárgyalja, hogy egy jelszó feltörése a "legrosszabb esetben", azaz a "leghosszabb szükséges idő" szempontjából mennyire eltarthat. A blogbejegyzés rámutat arra, hogy a legtöbb hacker nem teljesen üres lapról indul, hanem először a már korábban kiszivárgott jelszó-hash-ekből, szótáras támadásokból, vagy úgynevezett "szivárvány táblákból" származó szavakra és karakterkombinációkra összpontosít. [A szivárvány tábla egy előre elkészített adatbázis, amely a jelszavakhoz kapcsolódó hash-értékeket tartalmazza.]
Ha a jelszavad szerepelt korábbi adatszivárgásban, vagy szótári szavakat tartalmaz, akkor egy hacker -- függetlenül attól, hogy hány karaktert, szimbólumot vagy számot tartalmaz -- pillanatok alatt kitalálhatja.
Megjegyezték, hogy ezek az adatok azon a feltételezésen alapulnak, hogy a jelszavad nem szerepelt korábbi adatszivárgásban. A hackerek gyakran először a leggyakoribb és már kiszivárgott jelszavak hash-értékeit próbálják ki, mielőtt újabb jelszavakra váltanának.
