Poradnik bezpieczeństwa

Czym jest czas łamania hasła?

Dowiedz się, co oznaczają szacunki czasu łamania hasła, dlaczego założenia dotyczące szybkości ataku mają znaczenie i dlaczego szacunki nie są gwarancjami.

Podsumowanie

Czas łamania hasła to oszacowanie, jak długo może trwać atak polegający na zgadywaniu w określonym modelu. Model ma znaczenie. Zgadywanie online na żywej usłudze różni się od offline’owego łamania skradzionego skrótu hasła. Uniwersalna liczba „czasu do złamania” jest myląca bez założeń.

Skorzystaj z kalkulatora czasu łamania hasła i narzędzia do oceny siły hasła, aby porównać scenariusze lokalnie.

Zgadywanie online

Zgadywanie online jest ograniczone przez usługę. Limity prób, blokady, monitorowanie, MFA i wykrywanie anomalii mogą spowolnić lub zatrzymać ataki. Krótki PIN może być akceptowalny tylko dlatego, że system ogranicza liczbę prób.

Łamanie offline

Łamanie offline ma miejsce, gdy atakujący posiadają skróty haseł lub zaszyfrowane materiały. Szybkość zależy od algorytmu skrótu, współczynnika kosztu, soli, sprzętu i strategii ataku. Wolne haszowanie haseł, takie jak Argon2id, bcrypt lub PBKDF2, ma na celu zmniejszenie liczby zgadywań na sekundę.

Losowość i wzorce

Matematyka czasu łamania ma sens tylko wtedy, gdy hasło jest rzeczywiście losowe. Password123! może wyglądać na złożone, ale pojawia się wcześnie w zgadywaniu opartym na wzorcach. Losowe 20-znakowe hasło jest inne, ponieważ brakuje mu ludzkiej struktury.

Szczegółowe wskazówki

Ten przewodnik koncentruje się na odpowiedzialnym odczytywaniu szacunków czasu łamania hasła. Jest napisany dla użytkowników, którzy widzą szacunki w latach i chcą wiedzieć, co naprawdę oznaczają, więc praktycznym celem nie jest tworzenie dramatycznego twierdzenia o bezpieczeństwie. Celem jest wybór nawyku dotyczącego haseł, który przetrwa codzienne użytkowanie: formularze logowania, menedżery haseł, klawiatury mobilne, odzyskiwanie konta, współdzielone urządzenia i okazjonalne usługi z dziwnymi regułami walidacji. Bezpieczne zalecenie jest przydatne tylko wtedy, gdy prawdziwa osoba może go konsekwentnie przestrzegać.

Najbezpieczniejszym punktem wyjścia jest losowość plus unikalność. Losowość oznacza, że wartość jest wybierana z dużej przestrzeni przez kryptograficznie odpowiednie źródło losowe, a nie wymyślona z daty urodzenia, imienia zwierzaka, wzorca klawiatury lub ulubionego cytatu. Unikalność oznacza, że to samo hasło nie jest używane nigdzie indziej. Hasło, które jest długie, ale używane wielokrotnie, może szybko zawieść po jednym niezwiązanym naruszeniu, podczas gdy unikalne losowe hasło ogranicza szkody do jednego konta, na którym zostało użyte.

W tym temacie praktycznym ustawieniem wstępnym są szacunki oparte na scenariuszach dla limitów online, wolnych skrótów i szybkiego zgadywania offline. Możesz zastosować to ustawienie za pomocą kalkulatora czasu łamania hasła, a następnie przechowywać końcową wartość w zaufanym menedżerze haseł. PwdGen generuje wartości lokalnie w przeglądarce za pomocą Web Crypto; wygenerowane hasło nie jest wysyłane na serwer PwdGen. Ta lokalna konstrukcja zmniejsza narażenie po stronie serwera, ale nie chroni przed każdym zagrożeniem. Złośliwe rozszerzenie przeglądarki, zainfekowane urządzenie, strona phishingowa lub niebezpieczne zarządzanie schowkiem mogą nadal ujawnić tajemnicę po jej wygenerowaniu.

Najczęstsze problemy, których należy unikać, to uniwersalne twierdzenia o czasie łamania, założenia tylko sprzętowe, wyciekłe skróty, słabe przechowywanie i przewidywalne wzorce użytkowników. Te problemy mają znaczenie, ponieważ atakujący rzadko muszą brute-force’ować każde możliwe hasło, gdy ludzkie nawyki dają im skrót. Credential stuffing, phishing, wyciekłe listy haseł i nadużycia przy odzyskiwaniu konta są często bardziej realistyczne niż czyste matematyczne przeszukiwanie. Dlatego najlepsza rada łączy jakość hasła z kontrolami na poziomie konta, takimi jak MFA, klucze dostępu, przechowywanie kodów odzyskiwania i regularny przegląd ustawień e-maila lub telefonu do odzyskiwania.

Skorzystaj z tej listy kontrolnej podczas stosowania zalecenia:

• Porównaj więcej niż jeden scenariusz ataku.
• Nie traktuj dużej liczby jako gwarancji.
• Unikaj ponownego używania haseł niezależnie od oszacowania.
• Używaj MFA dla kont, które to obsługują.

Jeśli strona internetowa odrzuca idealne ustawienie, nie zmuszaj hasła do słabszego wzorca ręcznie. Dostosuj jedną zmienną na raz. Jeśli symbole są odrzucane, zachowaj wielkie litery, małe litery i cyfry oraz zwiększ długość. Jeśli maksymalna długość jest niska, użyj największej akceptowanej długości i upewnij się, że wartość jest unikalna. Jeśli hasło musi być odczytane na głos, wydrukowane lub wpisane na ekranie telewizora lub routera, rozważ wykluczenie mylących znaków i zwiększenie długości, aby zrekompensować mniejszy alfabet.

Na koniec pamiętaj o granicach porad dotyczących haseł. Silne hasło to jedna warstwa obrony, a nie gwarancja. Nie może sprawić, że strona phishingowa będzie bezpieczna, naprawić złośliwego oprogramowania ani zrekompensować usługi, która przechowuje dane uwierzytelniające w niewłaściwy sposób. Przydatny nawyk jest nudny, ale trwały: wygeneruj unikalną wartość, przechowuj ją bezpiecznie, chroń ścieżkę odzyskiwania i wymień ją szybko, jeśli podejrzewasz ujawnienie.

Bezpieczny następny krok

Po przeczytaniu tego przewodnika wykonaj jeden mały audyt konta, zamiast próbować naprawić wszystko naraz. Wybierz konto, które spowodowałoby najwięcej problemów, gdyby zostało przejęte, potwierdź, że jego hasło jest unikalne, i sprawdź e-mail do odzyskiwania, telefon do odzyskiwania, metodę MFA i przechowywanie kodów zapasowych. Jeśli jakakolwiek część tego łańcucha jest słaba, popraw tę część przed przejściem do kont o niższym ryzyku. Ta kolejność utrzymuje pracę w zarządzalnych ramach i chroni konta, które atakujący najprawdopodobniej wykorzystają jako odskocznię. W przypadku pytania „Czym jest czas łamania hasła?” najlepszym rezultatem jest powtarzalny nawyk: generuj lokalnie, przechowuj ostrożnie i unikaj ponownego użycia.

Często zadawane pytania

Dlaczego kalkulatory czasu łamania są ze sobą sprzeczne?

Używają różnych założeń dotyczących losowości, typu skrótu, sprzętu, limitów online i tego, czy hasło jest już znane z wycieków.

Czy łamanie offline jest szybsze niż zgadywanie online?

Zazwyczaj tak. Atakujący offline mogą próbować zgadywać bez limitów prób, podczas gdy systemy online mogą ograniczać, blokować i monitorować próby.

Czy powinienem ufać pojedynczemu wynikowi „milion lat”?

Traktuj go jako oszacowanie przy podanych założeniach, a nie gwarancję bezpieczeństwa.