Biztonsági útmutató
Mi a jelszófeltörési idő?
Ismerje meg, mit jelentenek a jelszófeltörési időbecslések, miért számítanak a támadási sebesség feltételezései, és miért nem garanciák a becslések.
Összefoglaló
A jelszófeltörési idő becslés arra, hogy egy adott modell szerint mennyi ideig tarthat egy találgatásos támadás. A modell számít. Az online találgatás egy élő szolgáltatás ellen különbözik a kiszivárgott jelszóhash offline feltörésétől. Egy univerzális „feltörési idő” szám félrevezető a feltételezések nélkül.
Használja a jelszófeltörési idő kalkulátort és az erősségellenőrzőt a forgatókönyvek helyi összehasonlításához.
Online találgatás
Az online találgatást a szolgáltatás korlátozza. A sebességkorlátozás, a zárolás, a megfigyelés, az MFA és a rendellenességészlelés lassíthatja vagy megállíthatja a támadásokat. Egy rövid PIN csak azért elfogadható, mert a rendszer korlátozza a próbálkozásokat.
Offline feltörés
Az offline feltörés akkor történik, amikor a támadók jelszóhashekkel vagy titkosított anyaggal rendelkeznek. A sebesség függ a hash algoritmustól, a költségfaktortól, a sótól, a hardvertől és a támadási stratégiától. A lassú jelszóhash-elés, mint az Argon2id, a bcrypt vagy a PBKDF2, célja a másodpercenkénti találgatások számának csökkentése.
Véletlenszerűség és mintázatok
A feltörési idő matematikája csak akkor értelmes, ha a jelszó valóban véletlenszerű. Password123! bonyolultnak tűnhet, de korán megjelenik a mintázatalapú találgatásban. Egy véletlenszerű 20 karakteres jelszó más, mert hiányzik belőle az emberi struktúra.
Részletes útmutató
Ez az útmutató a jelszófeltörési időbecslések felelős értelmezésére összpontosít. Azoknak a felhasználóknak készült, akik év alapú becsléseket látnak, és szeretnék tudni, mit jelentenek valójában, így a gyakorlati cél nem egy drámai biztonsági állítás létrehozása. A cél egy olyan jelszószokás kialakítása, amely túléli a mindennapi használatot: bejelentkezési űrlapok, jelszókezelők, mobil billentyűzetek, fiók-helyreállítás, megosztott eszközök és az alkalmankénti szolgáltatás furcsa érvényesítési szabályokkal. Egy biztonságos ajánlás csak akkor hasznos, ha egy valós személy következetesen követni tudja.
A legbiztonságosabb kiindulópont a véletlenszerűség plusz az egyediség. A véletlenszerűség azt jelenti, hogy az értéket egy nagy térből választja ki egy kriptográfiailag megfelelő véletlen forrás, nem pedig születésnapból, háziállat névből, billentyűzetmintázatból vagy kedvenc idézetből találja ki. Az egyediség azt jelenti, hogy ugyanazt a jelszót máshol nem használják. Egy hosszú, de újrahasznált jelszó gyorsan meghiúsulhat egy nem kapcsolódó adatszivárgás után, míg egy egyedi véletlen jelszó korlátozza a kárt arra az egyetlen fiókra, ahol használták.
Ehhez a témához egy gyakorlati előbeállítás a forgatókönyv-alapú becslések online korlátokra, lassú hashekre és gyors offline találgatásra. Ezt az előbeállítást alkalmazhatja a jelszófeltörési idő kalkulátorral, majd tárolja a végső értéket egy megbízható jelszókezelőben. A PwdGen a böngészőben generál értékeket a Web Crypto segítségével; a generált jelszó nem kerül elküldésre egy PwdGen szerverre. Ez a helyi kialakítás csökkenti a szerveroldali kitettséget, de nem véd minden fenyegetés ellen. Egy rosszindulatú böngészőbővítmény, egy feltört eszköz, egy adathalász oldal vagy a nem biztonságos vágólapkezelés továbbra is felfedheti a titkot a generálás után.
A leggyakoribb elkerülendő problémák az univerzális feltörési idő állítások, a csak hardverre vonatkozó feltételezések, a kiszivárgott hashek, a gyenge tárolás és a kiszámítható felhasználói mintázatok. Ezek a problémák azért számítanak, mert a támadók ritkán kényszerülnek minden lehetséges jelszó brute-force kipróbálására, amikor az emberi szokások egy rövid utat adnak nekik. A hitelesítő adatokkal való visszaélés (credential stuffing), az adathalászat, a kiszivárgott jelszólisták és a fiók-helyreállítási visszaélések gyakran reálisabbak, mint egy tiszta matematikai keresés. Ezért a legjobb tanács a jelszóminőséget fiókszintű vezérlőkkel kombinálja, mint az MFA, a passkey-k, a helyreállítási kódok tárolása és a helyreállítási e-mail vagy telefonszám rendszeres felülvizsgálata.
Használja ezt az ellenőrzőlistát az ajánlás alkalmazásakor:
- Hasonlítson össze több támadási forgatókönyvet.
- Ne kezeljen egy nagy számot garanciaként.
- Kerülje az újrahasznált jelszavakat a becsléstől függetlenül.
- Használjon MFA-t az azt támogató fiókokhoz.
Ha egy weboldal elutasítja az ideális beállítást, ne erőltesse a jelszót egy gyengébb mintázatba kézzel. Egyszerre csak egy változót állítson be. Ha a szimbólumokat elutasítják, tartsa engedélyezve a nagybetűket, kisbetűket és számokat, és növelje a hosszt. Ha a maximális hossz alacsony, használja a legnagyobb elfogadott hosszt, és győződjön meg arról, hogy az érték egyedi. Ha egy jelszót fel kell olvasni, ki kell nyomtatni, vagy be kell gépelni egy TV vagy router képernyőjén, fontolja meg a zavaró karakterek kizárását és a hossz növelését a kisebb ábécé kompenzálására.
Végül ne feledje a jelszótanács határait. Egy erős jelszó a védelem egy rétege, nem garancia. Nem tehet biztonságossá egy adathalász oldalt, nem javítja ki a kártevőket, és nem kompenzál egy olyan szolgáltatást, amely rosszul tárolja a hitelesítő adatokat. A hasznos szokás unalmas, de tartós: generáljon egyedi értéket, tárolja biztonságosan, védje a helyreállítási utat, és cserélje ki gyorsan, ha kitettségre gyanakszik.
Egy biztonságos következő lépés
Az útmutató elolvasása után végezzen el egy kis fiók-ellenőrzést ahelyett, hogy mindent egyszerre próbálna megjavítani. Válassza ki azt a fiókot, amely a legtöbb gondot okozná, ha átvennék, erősítse meg, hogy a jelszava egyedi, és ellenőrizze a helyreállítási e-mailt, helyreállítási telefont, MFA módszert és a biztonsági kódok tárolását. Ha a lánc bármely része gyenge, javítsa azt a részt, mielőtt az alacsonyabb kockázatú fiókokra lép. Ez a sorrend kezelhetővé teszi a munkát, és védi azokat a fiókokat, amelyeket a támadók valószínűleg ugródeszkaként használnak. A „Mi a jelszófeltörési idő?” esetében a legjobb eredmény egy ismételhető szokás: generálja helyben, tárolja gondosan, és kerülje az újrahasználatot.
Gyakran ismételt kérdések
Miért térnek el egymástól a feltörési idő kalkulátorok?
Különböző feltételezéseket használnak a véletlenszerűségről, a hash típusáról, a hardverről, az online korlátokról és arról, hogy a jelszó már ismert-e adatszivárgásokból.
Az offline feltörés gyorsabb, mint az online találgatás?
Általában igen. Az offline támadók korlátok nélkül próbálkozhatnak, míg az online rendszerek korlátozhatják, zárolhatják és figyelhetik a próbálkozásokat.
Megbízzak egyetlen „millió év” eredményben?
Kezelje becslésként a megadott feltételezések mellett, nem biztonsági garanciaként.