Пароли больше не защищают

Опубликовал senorpomodor в 9 Июнь, 2011 - 18:24

Инженер-энтузиаст Виджей Девакумар (Vijay Devakumar) продемонстрировал, что современные видеокарты с относительной легкостью взламывают даже сложные и длинные пароли.

В сочетании с новыми программными средствами графические процессоры превращают взлом паролей в рамках протокола NTLM, используемого в Windows-сетях, из невыполнимой задачи в очень даже реалистичную. В качестве примера он взял видеоадаптер Radeon HD 5770, относящийся к средней ценовой категории, и доказал, что для взлома пароляиз девяти символов требуется не 43 года, как предполагалось ранее, а всего 48 дней. Если же в качестве объекта взять пятизначный пароль из букв и цифр, то для его подбора методом «грубой силы» требуется всего 24 секунды.

Разумеется, более продвинутые решения вроде Radeon HD 6970 решают данную задачу еще быстрее. Дальнейшее развитие графических чипсетов еще больше усугубит ситуацию, поскольку недорогие видеокарты и видеоадаптеры уровня ноутбуков смогут осуществлять взлом за аналогичное время. Да и сегодня на рынке присутствует множество чипов, чья мощность существенно превосходит скромную HD 5770. Большинство современных чипсетов от AMD и NVIDIA построено на мультиядерной архитектуре, которая подходит для обработки не только графических задач, но и задач общего назначения, например, для кодирования видео. При этом крупные настольные платформы вроде Mac OS X Snow Leopard и Windows 7 с DirectX 11 имеют встроенную поддержку обработки данных графическими процессорами, и технология эта будет только усовершенствоваться.

Поэтому разработчикам систем безопасности, да и самим пользователям следует помнить, что сегодня угроза нависла даже над теми средствами защиты, которые прежде считались надежными. Пароли, которые так трудно запомнить человеку, взламываются видеокартами за относительно короткое время. Поэтому необходимо внедрение дополнительных степеней защиты, которые задействуют не только пароли, но и другие средства; это могут быть, например, сканеры отпечатков пальцев или аутентификация по аппаратной части машины.

Источник: 
http://soft.mail.ru
Ваша оценка: Нет Средняя оценка: 5 (1 vote)
Метки
  • 549 просмотра
senorpomodor аватар
Комментирует senorpomodor (9 Июнь, 2011 - 18:33) #26207

Мощный заголовок и новость ни о чем. В статье, судя по всему, речь идет о подборе пароля по имеющемуся хешу. Если хеш неизвестен, то пароли вполне себе защищают и будут защищать всегда. Например, в почте от Гугла уже после нескольких неудачных попыток подобрать пароль выводится каптча. Надеюсь, каптчу современные видеокарты еще не научились взламывать? ;)

Ваша оценка: Нет
Комментирует maniak (9 Июнь, 2011 - 19:12) Рейтинг 31 #26211

Солидарен с Вами, для паники нет причин.

для его подбора методом «грубой силы»

что как бы указывает на применяемый брутфорс поэтому пароли из известного диапазона символов и известной длинны действительно отдаются действительно проще, если в пароле использовать буквы разного регистра + цифры + спец. символы, то даже на GPU-фермах процесс подбора займет года.
К тому же использование защит от перебора в программном обеспечении сведут на нет подобный способ взлома.

Ваша оценка: Нет
Комментирует Исилдур (9 Июнь, 2011 - 19:56) #26212 ?

Ни кто не использует пароли длиннее шести символов, тем более спец символы. А капче жить осталось лет пять от силы — закон Мура же.

Ваша оценка: Нет
amlaml аватар
Комментирует amlaml (9 Июнь, 2011 - 20:21) Рейтинг 351 #26213

Пароли короче шести символов используют обычно те же люди, которые пишут "ни кто" отдельно…

;-))))

Ваша оценка: Нет Средняя оценка: 5 (3 votes)
senorpomodor аватар
Комментирует senorpomodor (9 Июнь, 2011 - 22:05) #26215

Я использую длинные пароли со спецсимволами, цифрами и в разном регистре. У меня никогда не взламывали ни одного аккаунта. Проблем с запоминанием не испытываю. Пароли вполне справляются со своей задачей. Если каптчу и победят, то можно просто ограничить количество неверных попыток ввода пароля на один IP и закон Мура снова окажется бессильным.

Ваша оценка: Нет Средняя оценка: 5 (1 vote)
amlaml аватар
Комментирует amlaml (9 Июнь, 2011 - 20:45) Рейтинг 351 #26214

Реклама видеокарт AMD ?

(((-:

Ну да, задача перебора паролей практически идеально распараллеливается.

…А что толку? Например, тут, почему-то;), для примера некруглое число взято — 9 символов. Но почему, например, не 10, для ровного счёта? :)))

А потому, что если символ — это, к примеру, 94 варианта (латинские буквы + цифры + всякие знаки с клавиатуры), то результат для 10 символов уже получится не 48, а 4512 дней (это >12 лет).

11 символов, >1000 лет

и т.д.!!!

Можно, конечно, взять 1 000 000 видеокарт ATi. Но чтобы "отбиться от этой толпы", достаточно ещё, всего лишь, 3 символа в пароль добавить:))

Закон Мура? Хорошо — ещё по символу на каждые следующие 10 лет прогресса.

Запомнить и набирать пару-тройку хороших паролей в 15-17 символов не так уж и сложно. И в ближайшие 50-70 лет можете спать спокойно!

Похороны паролей отменяются! :))))

Ваша оценка: Нет Средняя оценка: 4.5 (2 votes)
Комментирует Исилдур (9 Июнь, 2011 - 22:10) #26216 ?

Вариант для пароля: небольшой пошлый анекдот, вбитый в английской раскладке в разных регистрах - обязательно с грамматическими ошибками! - и разведенный спецсимволами и цифрами. Длиииииный пароль, который легко запомнить :)

Ваша оценка: Нет Средняя оценка: 5 (1 vote)
senorpomodor аватар
Комментирует senorpomodor (9 Июнь, 2011 - 22:11) #26217

И еще нужно сопоставить затраты на взлом с экономической выгодой. Вряд ли кто-то будет покупать "1 000 000 видеокарт", чтобы взломать страничку вконтакта Васи Пупкина, поэтому определенный контингент может не волноваться по поводу успехов в подбирании паролей. А серьезные системы можно и защитить серьезнее. Например, платежная система Web Money: пароль к кошельку, электронный ключ (который разрешается хранить только на флешке), пароль к электронному ключу, привязка к IP и мобильному телефону.

Ваша оценка: Нет Средняя оценка: 5 (1 vote)
Комментирует Исилдур (10 Июнь, 2011 - 07:41) #26223 ?

Существует еще и т.н. "терморектальный" метод криптоанализа. Это когда к Вам (тьфу-тьфу) приходят 2 бравых хлопца, ничего не соображающих в ИТ, а у одного из них в кармане паяльник. Быстро, дешево, безотказно.
Данный метод обладает одним недостатком - требуется физический доступ к телу.

Ваша оценка: Нет Средняя оценка: 2 (1 vote)
Комментирует Исилдур (10 Июнь, 2011 - 12:23) #26226 ?

При физическом доступе к источнику информации никакие софтверные меры не спасут. Это же основы!

Ваша оценка: Нет Средняя оценка: 5 (2 votes)
Комментирует Исилдур (10 Июнь, 2011 - 14:27) #26229 ?

Разумеется.
Но данном случае мы не имеем физического доступа к информации.
По моему скромному разумению, существует 4 способа для достижения цели:
1. Получить доступ к зашифрованной информации и произвести определенные действия (перебор пароля, частотный анализ, от которого еще никто не уходил и т.д.);
2. т.н. "классический хак" (удаленно сломать саму систему, которая обеспечивает хранение информации, перехват и расшифровка паролей и т.д.). В реальной жизни встречается редко, ибо дорого - требуются специальные знания и часто дорогое оборудование;
3. Социальный инжиниринг (или как там его);
4. Заполучить вполне конкретного человека, который уже знает все, что нужно и произвести определенные действия ("принуждение к сотрудничеству").
Все остальное - производные от перечисленных способов, либо их комбинации.
Поправьте, если ошибаюсь.

Ваша оценка: Нет Средняя оценка: 2.5 (2 votes)
senorpomodor аватар
Комментирует senorpomodor (11 Июнь, 2011 - 21:25) #26236

Вот неплохая "видеокарта" от NVidia для подбора паролей. Результаты впечатляют:
Подбор паролей на WiFi
Но если пароль выбран правильно, то и эта штуковина не сильно поможет.

Ваша оценка: Нет
amlaml аватар
Комментирует amlaml (12 Июнь, 2011 - 00:52) Рейтинг 351 #26238

Не очень показательный пример мощщщИ графического ускорителя. Т.к., в WPA алгоритм шифрования AES, а он теперь аппаратно реализован в процессорах интел i5, i7. Быстродействие по AES у современных процессоров получится примерно как у этой Теслы.

(Но только именно для этого алгоритма, а не для других параллельных задач:)))

Ваша оценка: Нет

Отправить комментарий

  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Доступны HTML теги: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd> <blockquote> <strike>
  • Строки и параграфы переносятся автоматически.

  • Поисковые системы будут индексировать и переходить по ссылкам на разрешённые домены.

Подробнее о форматировании

КАПЧА
Вы человек? Подсказка: зарегистрируйтесь, чтобы этот вопрос больше никогда не возникал. Кстати, анонимные ссылки запрещены.
CAPTCHA на основе изображений
Enter the characters shown in the image.
Яндекс.Метрика