W XXI wieku pojawiły się kryptowaluty, które napędziły rynek sprzętu, jak również rozwiązań, które umożliwiają szybsze obliczanie algorytmów….. tych samych i podobnych algorytmów, którymi szyfrowane są nasze hasła praktycznie wszędzie.

Dziś chciałbym poruszyć ten dość ciekawy temat, jakim jest bezpieczeństwo zaszyfrowanych haseł w czasach, w których żyjemy.

Rozszyfrowanie algorytmu

Algorytm to nic innego jak klucz procesów i czynności jakie zachodzą do poprawnego kodowania i dekodowania informacji.

Pierwsze narzędzia do rozszyfrowywania algorytmów MD5 i SHA256 spotkałem już w  okolicach 2007 roku – zaczynając przygodę z systemami Unix. Jako informatyk-amator zadziwiały mnie skuteczne próby rozszyfrowywania haseł zapisanych w /etc/shadow w postaci hashów.

Nie chciałbym w tym artykule opisywać potocznie uznawanych za narzędzia ‚hakerskie’ aplikacji typu john pro, crunch czy prism, jednak warto się nad tym ogólnym tematem bezpieczeństwa pochylić.

Kryptowaluty i technologia

Z doświadczenia wiem, że większość ludzi posługująca się lub z dumą mówiąca o BitCoinach, nie zdaje sobie sprawy jak do tej koncepcji doszło. A mianowicie, że cała ta Blockchainowa konstrukcja zaimplementowała narzędzia do tzw. ‚testowania’ bezpieczeństwa kluczy czyli tzw. crackery haseł, które niegdyś skutecznie służyły hakerom. Te same aplikacje i sposób ich działania zostały wykorzystane do tworzenia narzędzi do „wydobywania” kryptowalut (tzw. miningu) wraz z innymi rozwiązaniami, tak jak wykorzystanie architektury CUDA, czyli wielordzeniowych procesorów graficznych do obliczeń algorytmów.

W obecnych czasach ze względu na rynek napędzony przez kryptowaluty wykorzystujące do swojego działania algorytmy (tj. SHA256), proces ich obliczenia to już nie kilka dni, miesięcy czy lat a zaledwie kilka minut czy godzin przy zastosowaniu najnowszych procesorów GPU lub ASIC. Z sieci połączonych ze sobą maszyn można stworzyć tzw. Farmę, która zsumuje ogromną moc obliczeniową, a ta zaś stanowi poważne zagrożenie dla naszych zaszyfrowanych haseł i szybkości ich rozszyfrowania.

Co nas czeka w przyszłości?

Dla przykładu, biorąc na widelec powszechnie uważany za bezpieczny algorytm WPA2, który używa się w sieciach Wi-Fi – mogę z pełną odpowiedzialnością powiedzieć, że jeszcze za naszego życia ten algorytm zostanie wyparty. Podobnie jak stało się z algorytmem WEP, który daje się rozszyfrować w maksymalnie 5-10 minut.

Hasło do Wi-Fi, które zawiera osiem dowolnych znaków szyfrowanych algorytmem WPA2 to około 2 lata obliczeń metodą Brute-force (Crackowanie hasła wszystkimi możliwymi kombinacjami liter, cyfr i znaków) dla przeciętnego komputera. W dobie procesorów ASIC, wielordzeniowych procesorów GPU i farm łączących moc obliczeniową – ten sam proces w zależności od tej mocy obliczeniowej może trwać około 2 godzin. Dużo łatwiej (szybciej) jest rozszyfrować hasło zawierające wyrazy generyczne – czyli takie, które występują w słowniku np. języka polskiego.

Jak się zabezpieczać?

My użytkownicy internetu możemy niewiele – pamiętając, że długość i różnorodność zastosowanych w haśle znaków ma znaczenie. Tutaj pole do popisu, jak również ogromny problem bezpieczeństwa mają dostawcy internetowych usług, które te hasła szyfrują i przetrzymują.

Na przeciw czarnym myślom, które mogą nam spędzać sen z powiek, pojawiają się małe iskierki nadziei – czyli rozwiązania, które starają się sprostać zagrożeniom bezpieczeństwa szyfrowania w dzisiejszych czasach. Tu dla przykładu chciałbym pokazać rozwiązanie, które serwuje znany wszystkim Dropbox, który przetrzymuje hasła zaszyfrowane cebulkowo.

Tutaj więcej informacji o rozwiązaniu Dropbox`owym

Dropbox oczywiście nie jest jedyny, podobne rozwiązania utrudniające złamanie hasła można spotkać już coraz częściej. Zagrożenie płynące z wycieku i rozszyfrowania haseł często blokowane są dwuskładnikową metodą uwierzytelniania (np. poprzez SMS), co daje nam względne bezpieczeństwo, nawet w przypadku rozszyfrowania naszego hasła.

Tagi: , , , , , , , , ,