A kiberbiztonsággal foglalkozó Hive Systems idén is felmérte, hogy egy bárki által megvásárolható modern videókártyával (RTX 3090) mennyi időbe telik egy jelszó feltörése.
A nagy számítási kapacitású eszközzel a brute force, vagyis egyszerű találgatáson alapuló módszert alkalmazva vizsgálták meg, hogy mennyire okoz nehézséget kitalálni a legelteterjedtebb betűk, számok és speciális karakterek kombinációiból összeállított jelszavakat.
A vizsgált karakterkészletbe a magyar ABC betűi is beletartoztak
A teszt során a 2-18 karakterből álló számokat, kis- és nagy betűket, valamint speciális karaktereket is tartalmazó jelszavak biztonságát mérték fel. Az eredményeket az alábbi táblázat foglalja össze.
Az oszlopok balról jobbra: a jelszó karaktereinek hossza, csak számokat tartalmazó jelszavak, csak kisbetűket tartalmazó jelszavak, kis- és nagybetűket tartalmazó jelszavak, számokat és kis- és nagybetűkek is tartalmazó jelszavak, speciális karaktereket és számokat és kis- és nagybetűket is tartalmazó jelszavak.
A fentiek alapján a sok weboldal által kért, 8 karakter hosszúságú jelszavak nem jelentenek túl nagy kihívást a kártya számára, ami a legtöbb esetben szinte azonnal, vagy néhány percen belül képes lehet egy ilyen kódsor feltörésére. Ez azonban még tovább csökkenthető, ha valaki több videókártyát, vagy egy óránként néhány dollárért bérelhető felhőszolgáltatást is igénybe vesz.
A felmérésben több ilyet is kipróbáltak. Egy Amazonon elérhető, 8 videókártyás csomag például további ~80%-kal csökkentheti a töréshez szükséges időt.
Habár az illetéktelen belépések megakadályozására sok weboldal 3-5 próbálkozásban limitálja a belépési kísérleteket, illetve Captcha használatával is próbál védeni a találagatós támadások ellen, ezek nem igazán hátráltatják a hackereket.
Az email címekhez és felhasználónevekhez tartozó jelszavakat offline, általában nem túl erősen védett oldalakról, például fórumokról, társkeresőkről ellopott adatbázisok feltörésével szerzik meg, így a találgatások során korlátlan számú alkalommal próbálkozhatnak. Később az itt megismert belépők birtokában már célzottan támadhatók a nagyobb értéket képviselő célpontok, például az email, vagy akár kripto tőzsdei fiókok.
Mivel a könnyebb megjegyezhetőség érdekében sokan ugyanazokat a szavakat, vagy azoknak a különböző kombinációit használják fel az internetes fiókjaik védelméhez, ha valakit egyszer már feltörtek, akkor onnantól kezdve már nem igazán számít az általa használt jelszó bonyolultsága. A kapcsolódó variációk próbálgatásával az átlagos törési idő már kevesebb, mint 1 másodpercre csökkenthető.
Azt, hogy az email címeinkhez tartozó fiókok már áldozatul eshettek-e egy ilyen törési kísérletnek, a haveibeenpwned oldalán ellenőrizhetjük. Itt az oldal közepén látható mezőbe kell begépelnünk az email címünket. Ha találatot kapunk, érdemes megváltoztatni az ugyanehhez rendelt, más oldalakhoz tartozó jelszavainkat.
További hírek és érdekességek Discord csatornánkon és a Youtube-on.
