Bezpečnostní průvodce

Co je doba prolomení hesla?

Zjistěte, co znamenají odhady doby prolomení hesla, proč záleží na předpokladech o rychlosti útoku a proč odhady nejsou zárukou.

Shrnutí

Doba prolomení hesla je odhad, jak dlouho by mohl trvat útok hádáním za specifických podmínek. Model je důležitý. Online hádání proti živé službě se liší od offline prolomení uniklého hash hesla. Univerzální číslo „doby prolomení“ je zavádějící bez uvedení předpokladů.

Použijte kalkulačku doby prolomení hesla a kontrolu síly hesla pro porovnání scénářů lokálně.

Online hádání

Online hádání je omezeno službou. Omezení rychlosti, zamykání, monitorování, MFA a detekce anomálií mohou útok zpomalit nebo zastavit. Krátký PIN může být přijatelný jen proto, že systém omezuje pokusy.

Offline prolomení

Offline prolomení nastává, když útočníci mají hash hesla nebo šifrovaný materiál. Rychlost závisí na hashovacím algoritmu, nákladovém faktoru, soli, hardwaru a útočné strategii. Pomalé hashování hesel jako Argon2id, bcrypt nebo PBKDF2 má za cíl snížit počet hádání za sekundu.

Náhodnost a vzory

Matematika doby prolomení má smysl pouze tehdy, když je heslo skutečně náhodné. Password123! může vypadat složitě, ale objevuje se brzy při hádání založeném na vzorech. Náhodné 20znakové heslo je jiné, protože postrádá lidskou strukturu.

Podrobný návod

Tento průvodce se zaměřuje na zodpovědné čtení odhadů doby prolomení hesla. Je psán pro uživatele, kteří vidí odhady v letech a chtějí vědět, co skutečně znamenají, takže praktickým cílem není vytvořit dramatické bezpečnostní tvrzení. Cílem je zvolit návyk s heslem, který přežije každodenní použití: přihlašovací formuláře, správci hesel, mobilní klávesnice, obnova účtu, sdílená zařízení a občasná služba s podivnými validačními pravidly. Bezpečné doporučení je užitečné pouze tehdy, pokud ho skutečný člověk může důsledně dodržovat.

Nejbezpečnějším výchozím bodem je náhodnost plus jedinečnost. Náhodnost znamená, že hodnota je vybrána z velkého prostoru kryptograficky vhodným náhodným zdrojem, nikoli vymyšlena z narozenin, jména domácího mazlíčka, vzoru na klávesnici nebo oblíbeného citátu. Jedinečnost znamená, že stejné heslo není použito nikde jinde. Dlouhé, ale znovu použité heslo může rychle selhat po jednom nesouvisejícím úniku, zatímco jedinečné náhodné heslo omezí škodu na jediný účet, kde bylo použito.

Pro toto téma je praktickým přednastavením odhady založené na scénářích pro online omezení, pomalé hashe a rychlé offline hádání. Toto přednastavení můžete použít s kalkulačkou doby prolomení hesla a poté uložit výslednou hodnotu do důvěryhodného správce hesel. PwdGen generuje hodnoty lokálně v prohlížeči pomocí Web Crypto; vygenerované heslo není odesláno na server PwdGen. Tento lokální design snižuje expozici na straně serveru, ale nechrání před každou hrozbou. Škodlivé rozšíření prohlížeče, kompromitované zařízení, phishingová stránka nebo nebezpečná manipulace se schránkou mohou stále odhalit tajemství po jeho vygenerování.

Nejčastějšími problémy, kterým se vyhnout, jsou univerzální tvrzení o době prolomení, předpoklady pouze o hardwaru, uniklé hashe, slabé úložiště a předvídatelné uživatelské vzory. Tyto problémy jsou důležité, protože útočníci zřídka potřebují brute-force všechny možné kombinace, když jim lidské návyky poskytnou zkratku. Credential stuffing, phishing, uniklé seznamy hesel a zneužití obnovy účtu jsou často realističtější než čistě matematické hledání. Proto nejlepší rada kombinuje kvalitu hesla s kontrolami na úrovni účtu, jako je MFA, passkeys, ukládání kódů pro obnovu a pravidelná kontrola e-mailu nebo telefonu pro obnovu.

Použijte tento kontrolní seznam při aplikaci doporučení:

• Porovnejte více než jeden útočný scénář.
• Nepovažujte velké číslo za záruku.
• Vyhněte se opakovaně používaným heslům bez ohledu na odhad.
• Používejte MFA pro účty, které jej podporují.

Pokud webová stránka odmítne ideální nastavení, nenuťte heslo ručně do slabšího vzoru. Upravte jednu proměnnou najednou. Pokud jsou symboly odmítnuty, ponechte velká písmena, malá písmena a čísla povolena a zvyšte délku. Pokud je maximální délka nízká, použijte největší přijatelnou délku a ujistěte se, že hodnota je jedinečná. Pokud musí být heslo čteno nahlas, vytištěno nebo zadáno na televizní či routerové obrazovce, zvažte vyloučení matoucích znaků a zvýšení délky, abyste kompenzovali menší abecedu.

Nakonec si pamatujte hranice rad o heslech. Silné heslo je jedna vrstva obrany, nikoli záruka. Nemůže učinit phishingovou stránku bezpečnou, opravit malware nebo kompenzovat službu, která ukládá přihlašovací údaje špatně. Užitečný návyk je nudný, ale trvanlivý: vygenerujte jedinečnou hodnotu, bezpečně ji uložte, chraňte cestu obnovy a rychle ji vyměňte, pokud máte podezření na prozrazení.

Bezpečný další krok

Po přečtení tohoto průvodce proveďte jeden malý audit účtu místo snahy opravit vše najednou. Vyberte účet, který by způsobil největší potíže, kdyby byl převzat, potvrďte, že jeho heslo je jedinečné, a zkontrolujte e-mail pro obnovu, telefon pro obnovu, metodu MFA a úložiště záložních kódů. Pokud je některá část tohoto řetězce slabá, zlepšete ji, než přejdete k méně rizikovým účtům. Toto pořadí udržuje práci zvládnutelnou a chrání účty, které útočníci s největší pravděpodobností použijí jako odrazový můstek. Co je doba prolomení hesla? Nejlepším výsledkem je opakovatelný návyk: generovat lokálně, ukládat opatrně a vyhnout se opakovanému použití.

Často kladené otázky

Proč se kalkulačky doby prolomení neshodují?

Používají různé předpoklady o náhodnosti, typu hashe, hardwaru, online omezeních a o tom, zda je heslo již známo z úniků.

Je offline prolomení rychlejší než online hádání?

Obvykle ano. Offline útočníci mohou zkoušet hádání bez omezení rychlosti, zatímco online systémy mohou omezovat, zamykat a monitorovat pokusy.

Mám věřit jedinému výsledku „milion let“?

Berte ho jako odhad za uvedených předpokladů, nikoli jako záruku bezpečnosti.