Ile kosztuje brute force
W informatyce nie istnieją zabezpieczenia doskonałe i każde z nich można w końcu pokonać. Jednak czy zostaną one pokonane zależy w dużej mierze od korzyści, jakich spodziewa się atakujący. Dlatego też korzystając z najbardziej rozpowszechnionej metody zabezpieczania danych - haseł - powinniśmy pamiętać, że im dłuższe hasło, tym jego złamanie jest trudniejsze i bardziej kosztowne.
Eksperci z firmy Electric Alchemy pokusili się o oszacowanie nie tylko kosztów złamania hasła metodą brute force, ale również oceny, w jaki sposób wykorzystanie najnowszych technologii wpływa na ich obniżenie.
W ramach eksperymentów przeprowadzono ataki na plik .zip chroniony za pomocą oprogramowania PGP. Wykorzystano przy tym program EDPR do łamania haseł produkowany przez rosyjską firmę ElcomSoft.
Pierwsze próby wykazały, że jeśli użyjemy dwurdzeniowego peceta z systemem Windows 7 to złamanie średniej długości hasła zajmie nam około 2100 dni. To, oczywiście, nieakceptowalnie długo. Dlatego też specjaliści wpadli na pomysł wykorzystania chmur obliczeniowych.
Wynajęli w tym celu moc obliczeniową chmury EC2 Amazona. Jest ona udostępniana w cenie 30 centów za godzinę pracy każdego procesu obliczeniowego. Po odpowiednim skonfigurowaniu okazało się, że 10 wirtualnych komputerów korzystających równocześnie z EDPR jest w stanie złamać hasło w ciągu 122 dni. Koszt takiego przedsięwzięcia wynosi mniej niż 8784 USD. Jeśli jednak wynajmiemy 100 wirtualnych maszyn, to złamią one hasło w ciągu 12 dni, a my zapłacimy za to 8640 USD.
Wyraźnie więc widać, że nowoczesna technologia pozwala na szybkie i tanie łamanie haseł. Dlatego też, co udowodniły kolejne obliczenia Electric Alchemy, hasła powinny być jak najdłuższe i powinny korzystać z jak największego zestawu znaków.
Wystarczy wspomnieć, że złamanie hasła składającego się z 9 znaków, wśród których mogą znaleźć się wszystkie symbole ASCII kosztuje co najmniej 10 milionów dolarów. W przypadku 12-znakowego hasła koszt rośnie do 8 miliardów USD. Jednak będzie on znacznie niższy, gdy wykorzystamy tylko małe litery łacińskie i cyfry. Wówczas ośmioznakowe hasło złamiemy za 45 USD, 9-znakowe będzie kosztowało 1628 dolarów, a 10-znakowe - 58 592 USD. Dalej koszt gwałtownie rośnie i przy 11-znakowym wynosi już ponad 2 miliony USD, a przy 12-znakowym zbliża się do 76 milionów dolarów.
Komentarze (4)
antonijakubiak, 4 listopada 2009, 13:42
Wniosek na dole strony jest dość pokrętny. Aby hasło składające się tylko z małych liter było tak samo mocne jak to składające się z wszystkich znaków ASCII wystarczy, żeby było dłuższe o 3 znaki. Jeżeli będzie dłuższe o 2 znaki, to będzie mniej więcej tak samo mocne. http://www.wolframalpha.com/input/?i=(26%2B26%2B10%2B29)^9+/+(26%2B10)^11
cyberant, 4 listopada 2009, 13:44
a uzytkownicy i tak glownie uzywaja haseł "imie1" data urodzenia, imie psa i masa innych ze standardowego słownika, tak że metoda brutal force na zwyklym PC łamie sie hasła w kilka godzin, max dni.
angelmarc, 4 listopada 2009, 14:37
nie lamie sie, je sie resetuje, lub w najgorszym przypadku korzysta sie z konta administratora glownego [ root ]ktore nie jest chronione zadnym haslem [ systemy windows ]
gravisrs, 5 listopada 2009, 23:11
Stopień złożoności algorytmu szyfrującego/hashującego jest bardzo istotny. Różnica między archiwum .zip zakodowanym PGP a np kombinacją Serpent+Twofish (jedna z zalecanych przez TrueCrypt) to kilka rzędów wielkości.
Dziś raczej używa się TrueCrypta itp. narzędzi niż szyfrowania zipów..