Bezpečnostná príručka
Čo je čas na prelomenie hesla?
Zistite, čo znamenajú odhady času na prelomenie hesla, prečo sú dôležité predpoklady o rýchlosti útoku a prečo odhady nie sú zárukou.
Zhrnutie
Čas na prelomenie hesla je odhad, ako dlho by mohol trvať útok hádaním pri konkrétnom modeli. Model je dôležitý. Hádanie online proti živej službe je iné ako offline prelomenie uniknutého hash hesla. Univerzálne „číslo času na prelomenie“ je bez predpokladov zavádzajúce.
Použite kalkulačku času na prelomenie hesla a kontrolu sily hesla na porovnanie scenárov lokálne.
Hádanie online
Hádanie online je obmedzené službou. Obmedzenia rýchlosti, uzamknutia, monitorovanie, MFA a detekcia anomálií môžu útoky spomaliť alebo zastaviť. Krátky PIN môže byť prijateľný len preto, že systém obmedzuje pokusy.
Offline prelomenie
Offline prelomenie nastáva, keď útočníci majú hash hesla alebo zašifrovaný materiál. Rýchlosť závisí od hashovacieho algoritmu, nákladového faktora, soli, hardvéru a útočnej stratégie. Pomalé hashovanie hesiel ako Argon2id, bcrypt alebo PBKDF2 je určené na zníženie počtu pokusov za sekundu.
Náhodnosť a vzory
Matematika času na prelomenie má zmysel len vtedy, keď je heslo skutočne náhodné. Password123! môže vyzerať zložito, ale objavuje sa skoro v hádaní založenom na vzoroch. Náhodné 20-znakové heslo je iné, pretože nemá ľudskú štruktúru.
Podrobný návod
Tento návod sa zameriava na zodpovedné čítanie odhadov času na prelomenie hesla. Je napísaný pre používateľov, ktorí vidia odhady v rokoch a chcú vedieť, čo skutočne znamenajú, takže praktickým cieľom nie je vytvoriť dramatické bezpečnostné tvrdenie. Cieľom je vybrať si návyk na heslo, ktorý prežije každodenné používanie: prihlasovacie formuláre, správcovia hesiel, mobilné klávesnice, obnova účtu, zdieľané zariadenia a občasná služba s podivnými validačnými pravidlami. Bezpečné odporúčanie je užitočné len vtedy, ak ho skutočný človek dokáže konzistentne dodržiavať.
Najbezpečnejším východiskovým bodom je náhodnosť plus jedinečnosť. Náhodnosť znamená, že hodnota je vybraná z veľkého priestoru kryptograficky vhodným náhodným zdrojom, nie vymyslená z narodenín, mena domáceho maznáčika, vzoru na klávesnici alebo obľúbeného citátu. Jedinečnosť znamená, že rovnaké heslo nie je použité nikde inde. Heslo, ktoré je dlhé, ale znovu použité, môže zlyhať rýchlo po jednom nesúvisiacom úniku, zatiaľ čo jedinečné náhodné heslo obmedzí škodu na jediný účet, kde bolo použité.
Pre túto tému je praktickým prednastavením odhady založené na scenároch pre online limity, pomalé hashe a rýchle offline hádanie. Toto prednastavenie môžete použiť s kalkulačkou času na prelomenie hesla a potom uložiť konečnú hodnotu do dôveryhodného správcu hesiel. PwdGen generuje hodnoty lokálne v prehliadači pomocou Web Crypto; vygenerované heslo nie je odoslané na server PwdGen. Tento lokálny dizajn znižuje vystavenie na strane servera, ale nechráni pred každou hrozbou. Škodlivé rozšírenie prehliadača, kompromitované zariadenie, phishingová stránka alebo nebezpečná manipulácia so schránkou môžu tajomstvo odhaliť aj po jeho vygenerovaní.
Najčastejšie problémy, ktorým sa treba vyhnúť, sú univerzálne tvrdenia o čase na prelomenie, predpoklady len o hardvéri, uniknuté hashe, slabé úložisko a predvídateľné vzory používateľov. Tieto problémy sú dôležité, pretože útočníci len zriedka potrebujú brute-force všetky možné heslá, keď im ľudské návyky poskytnú skratku. Credential stuffing, phishing, zoznamy uniknutých hesiel a zneužitie obnovy účtu sú často realistickejšie ako čisté matematické vyhľadávanie. Preto najlepšia rada kombinuje kvalitu hesla s kontrolami na úrovni účtu, ako sú MFA, passkeys, ukladanie obnovovacích kódov a pravidelná kontrola obnovovacieho e-mailu alebo telefónu.
Použite tento kontrolný zoznam pri aplikácii odporúčania:
- Porovnajte viac ako jeden útočný scenár.
- Nepovažujte veľké číslo za záruku.
- Vyhnite sa znovu použitým heslám bez ohľadu na odhad.
- Používajte MFA pre účty, ktoré ho podporujú.
Ak webová stránka odmietne ideálne nastavenie, nenuťte heslo ručne do slabšieho vzoru. Upravte jednu premennú naraz. Ak sú symboly odmietnuté, ponechajte veľké písmená, malé písmená a čísla povolené a zvýšte dĺžku. Ak je maximálna dĺžka nízka, použite najväčšiu akceptovanú dĺžku a uistite sa, že hodnota je jedinečná. Ak sa heslo musí čítať nahlas, tlačiť alebo písať na televíznej obrazovke alebo obrazovke smerovača, zvážte vylúčenie mätúcich znakov a zvýšenie dĺžky, aby ste kompenzovali menšiu abecedu.
Nakoniec si pamätajte hranice rád o heslách. Silné heslo je jedna vrstva obrany, nie záruka. Nedokáže urobiť phishingovú stránku bezpečnou, opraviť malvér alebo kompenzovať službu, ktorá uchováva prihlasovacie údaje zle. Užitočný návyk je nudný, ale trvanlivý: vygenerujte jedinečnú hodnotu, bezpečne ju uložte, chráňte cestu obnovy a rýchlo ju vymeňte, ak máte podozrenie na odhalenie.
Bezpečný ďalší krok
Po prečítaní tohto návodu urobte jeden malý audit účtu namiesto toho, aby ste sa pokúšali opraviť všetko naraz. Vyberte účet, ktorý by spôsobil najviac problémov, keby bol prevzatý, potvrďte, že jeho heslo je jedinečné, a skontrolujte obnovovací e-mail, obnovovací telefón, metódu MFA a uloženie záložných kódov. Ak je niektorá časť tohto reťazca slabá, zlepšite túto časť pred prechodom na účty s nižším rizikom. Toto poradie udržuje prácu zvládnuteľnú a chráni účty, ktoré útočníci s najväčšou pravdepodobnosťou použijú ako odrazový mostík. Pre čo je čas na prelomenie hesla? je najlepším výsledkom opakovateľný návyk: generovať lokálne, ukladať opatrne a vyhýbať sa opätovnému použitiu.
Často kladené otázky
Prečo sa kalkulačky času na prelomenie nezhodujú?
Používajú rôzne predpoklady o náhodnosti, type hash, hardvéri, online limitoch a o tom, či je heslo už známe z únikov.
Je offline prelomenie rýchlejšie ako online hádanie?
Zvyčajne áno. Offline útočníci môžu skúšať bez obmedzenia rýchlosti, zatiaľ čo online systémy môžu spomaľovať, zamykať a monitorovať pokusy.
Mám dôverovať jedinému výsledku „milión rokov“?
Považujte ho za odhad pri uvedených predpokladoch, nie za záruku bezpečnosti.