Ghid de securitate
Ce este timpul de spargere a parolelor?
Aflați ce înseamnă estimările timpului de spargere a parolelor, de ce contează ipotezele privind viteza de atac și de ce estimările nu sunt garanții.
Rezumat
Timpul de spargere a unei parole este o estimare a cât de mult ar putea dura un atac de ghicire sub un model specific. Modelul contează. Ghicirea online împotriva unui serviciu live este diferită de spargerea offline a unui hash de parolă scurs. Un număr universal „timp până la spargere” este înșelător fără ipoteze.
Utilizați calculatorul de timp de spargere a parolelor și verificatorul de putere pentru a compara scenarii local.
Ghicirea online
Ghicirea online este limitată de serviciu. Limitele de rată, blocările, monitorizarea, MFA și detectarea anomaliilor pot încetini sau opri atacurile. Un PIN scurt poate fi acceptabil doar pentru că sistemul limitează încercările.
Spargerea offline
Spargerea offline are loc atunci când atacatorii au hash-uri de parole sau material criptat. Viteza depinde de algoritmul hash, factorul de cost, sare, hardware și strategia de atac. Hashing-ul lent al parolelor, cum ar fi Argon2id, bcrypt sau PBKDF2, este menit să reducă ghicirile pe secundă.
Aleatoritate și modele
Matematica timpului de spargere are sens doar atunci când parola este cu adevărat aleatoare. Password123! poate părea complex, dar apare devreme în ghicirea bazată pe modele. O parolă aleatoare de 20 de caractere este diferită deoarece nu are structură umană.
Ghid detaliat
Acest ghid se concentrează pe citirea responsabilă a estimărilor timpului de spargere a parolelor. Este scris pentru utilizatorii care văd estimări bazate pe ani și vor să știe ce înseamnă cu adevărat, astfel încât scopul practic nu este de a crea o afirmație dramatică de securitate. Scopul este de a alege un obicei de parolă care poate supraviețui utilizării de zi cu zi: formulare de autentificare, manageri de parole, tastaturi mobile, recuperare cont, dispozitive partajate și ocazional un serviciu cu reguli de validare ciudate. O recomandare sigură este utilă doar dacă o persoană reală o poate urma în mod constant.
Cel mai sigur punct de plecare este aleatoritatea plus unicitatea. Aleatoritatea înseamnă că valoarea este selectată dintr-un spațiu mare de către o sursă aleatoare adecvată criptografic, nu inventată dintr-o zi de naștere, un nume de animal de companie, un model de tastatură sau un citat preferat. Unicitatea înseamnă că aceeași parolă nu este folosită nicăieri altundeva. O parolă lungă dar reutilizată poate eșua rapid după o încălcare neînrudită, în timp ce o parolă unică aleatoare limitează daunele la singurul cont în care a fost folosită.
Pentru acest subiect, o presetare practică este estimările bazate pe scenarii pentru limite online, hash-uri lente și ghicire rapidă offline. Puteți aplica acea presetare cu calculatorul de timp de spargere a parolelor și apoi stocați valoarea finală într-un manager de parole de încredere. PwdGen generează valori local în browser cu Web Crypto; parola generată nu este trimisă către un server PwdGen. Acest design local reduce expunerea pe server, dar nu protejează împotriva oricărei amenințări. O extensie de browser rău intenționată, un dispozitiv compromis, o pagină de phishing sau un management nesigur al clipboard-ului poate expune în continuare un secret după ce este generat.
Cele mai comune probleme de evitat sunt afirmațiile universale de timp de spargere, ipotezele bazate doar pe hardware, hash-urile scurse, stocarea slabă și modelele predictibile ale utilizatorilor. Aceste probleme contează deoarece atacatorii rareori trebuie să forțeze brut fiecare parolă posibilă atunci când obiceiurile umane le oferă o scurtătură. Credential stuffing, phishingul, listele de parole scurse și abuzul de recuperare a contului sunt adesea mai realiste decât o căutare matematică pură. De aceea, cel mai bun sfat combină calitatea parolei cu controale la nivel de cont, cum ar fi MFA, chei de acces, stocarea codurilor de recuperare și revizuirea regulată a e-mailului sau telefonului de recuperare.
Utilizați această listă de verificare atunci când aplicați recomandarea:
- Comparați mai mult de un scenariu de atac.
- Nu tratați un număr mare ca pe o garanție.
- Evitați parolele reutilizate indiferent de estimare.
- Utilizați MFA pentru conturile care îl acceptă.
Dacă un site web respinge setarea ideală, nu forțați parola într-un model mai slab manual. Ajustați o variabilă odată. Dacă simbolurile sunt respinse, păstrați majusculele, minusculele și numerele activate și măriți lungimea. Dacă lungimea maximă este mică, utilizați cea mai mare lungime acceptată și asigurați-vă că valoarea este unică. Dacă o parolă trebuie citită cu voce tare, tipărită sau tastată pe un ecran de televizor sau router, luați în considerare excluderea caracterelor confuze și mărirea lungimii pentru a compensa alfabetul mai mic.
În cele din urmă, amintiți-vă limita sfatului privind parolele. O parolă puternică este un strat de apărare, nu o garanție. Nu poate face o pagină de phishing sigură, nu poate repara malware-ul și nu poate compensa un serviciu care stochează credențialele prost. Obiceiul util este plictisitor dar durabil: generați o valoare unică, stocați-o în siguranță, protejați calea de recuperare și înlocuiți-o rapid dacă suspectați expunerea.
Un pas sigur următor
După ce citiți acest ghid, faceți un mic audit de cont în loc să încercați să reparați totul deodată. Alegeți contul care ar cauza cele mai multe probleme dacă ar fi preluat, confirmați că parola sa este unică și verificați e-mailul de recuperare, telefonul de recuperare, metoda MFA și stocarea codurilor de rezervă. Dacă orice parte a acestui lanț este slabă, îmbunătățiți acea parte înainte de a trece la conturi cu risc mai scăzut. Această ordine menține munca gestionabilă și protejează conturile pe care atacatorii sunt cel mai probabil să le folosească ca o piatră de temelie. Pentru ce este timpul de spargere a parolelor?, cel mai bun rezultat este un obicei repetabil: generați local, stocați cu atenție și evitați reutilizarea.
Întrebări frecvente
De ce diferă calculatoarele de timp de spargere?
Ele folosesc ipoteze diferite despre aleatoritate, tipul de hash, hardware, limite online și dacă parola este deja cunoscută din scurgeri.
Este spargerea offline mai rapidă decât ghicirea online?
De obicei da. Atacatorii offline pot încerca ghiciri fără limite de rată, în timp ce sistemele online pot limita, bloca și monitoriza încercările.
Ar trebui să am încredere într-un singur rezultat de „un milion de ani”?
Tratați-l ca pe o estimare în ipotezele declarate, nu ca pe o garanție de siguranță.