Hoewel wachtwoorden de eerste verdedigingslinie blijven voor het beschermen van gebruikersaccounts tegen ongeautoriseerde toegang, evolueren de methoden voor het maken van sterke wachtwoorden en het beschermen ervan voortdurend. NIST -wachtwoordaanbevelingen geven nu bijvoorbeeld prioriteit aan wachtwoordlengte boven complexiteit. Hashing blijft echter niet onderhandelbaar. Zelfs lange beveiligde passpathrases moeten worden gehasht om te voorkomen dat ze volledig worden blootgesteld in het geval van een datalek – en nooit in platte tekst is opgeslagen.
Dit artikel onderzoekt hoe de cyberaanvallers van vandaag proberen met een hashed -wachtwoorden te kraken, gemeenschappelijke hashing -algoritmen en hun beperkingen onderzoekt en bespreekt maatregelen die u kunt nemen om uw gehashte wachtwoorden te beschermen, ongeacht welk algoritme u gebruikt.
Moderne technieken voor het kraken van het wachtwoord
Schadelijke acteurs hebben een scala aan tools en methoden tot hun beschikking voor het kraken van hash -wachtwoorden. Sommige van de meer veelgebruikte methoden omvatten brute force -aanvallen, aanvallen van wachtwoordwoordenboek, hybride aanvallen en maskeraanvallen.
Brute Force -aanvallen
Een brute force -aanval omvat overmatige, krachtige vallen- en foutpogingen om accounttoegang te krijgen. Schadelijke acteurs gebruiken gespecialiseerde tools om wachtwoordvariaties systematisch te testen totdat een werkende combinatie is ontdekt. Hoewel niet-geavanceerd, zijn brute krachtaanvallen zeer effectief met behulp van wachtwoordcracking-software en krachtige computerhardware zoals grafische verwerkingseenheden (GPU’s).
Wachtwoord woordenboekaanval
Zoals de naam al aangeeft, trekt een aanval van het wachtwoordwoordenboek systematisch woorden uit een woordenboek tot brute force -wachtwoordvariaties tot het vinden van een werkende combinatie. De inhoud van het woordenboek kan elk gemeenschappelijk woord, specifieke woordlijsten en woordcombinaties bevatten, evenals woordderivaten en permutaties met alfanumerieke en niet-alfanumerieke tekens (bijvoorbeeld het vervangen van een “A” met een “@”). Wachtwoord woordenboekaanvallen kunnen ook eerder gelekte wachtwoorden of sleutelzinnen bevatten die zijn blootgesteld in datalekken.
Hybride aanvallen
Een hybride wachtwoordaanval combineert brute kracht met op woordenboek gebaseerde methoden om een betere aanval en werkzaamheid te bereiken. Een kwaadwillende acteur kan bijvoorbeeld een woordenboeklijst gebruiken met veelgebruikte referenties met technieken die numerieke en niet-alfanumerieke tekencombinaties integreren.
Maskeraanvallen
In sommige gevallen kunnen kwaadaardige actoren op de hoogte zijn van specifieke wachtwoordpatronen of parameters/vereisten. Met deze kennis kunnen ze maskersaanvallen gebruiken om het aantal iteraties en pogingen in hun krakende inspanningen te verminderen. Maskeraanvallen gebruiken brute kracht om wachtwoordpogingen te controleren die overeenkomen met een specifiek patroon (bijv. Acht tekens, begin met een hoofdletter en eindig met een nummer of speciaal teken).
Hoe hashing -algoritmen beschermen tegen kraakmethoden
Hashing -algoritmen zijn een steunpilaar voor een groot aantal beveiligingsapplicaties, van bewaking van bestandsintegriteit tot digitale handtekeningen en wachtwoordopslag. En hoewel het geen waterdichte beveiligingsmethode is, is hashing veel beter dan wachtwoorden in platte tekst op te slaan. Met Hashed -wachtwoorden kunt u ervoor zorgen dat zelfs als cyberaanvallers toegang krijgen tot wachtwoorddatabases, ze ze niet eenvoudig kunnen lezen of exploiteren.
Door het ontwerp te ontwerpen, belemmert Hashing aanzienlijk het vermogen van een aanvaller om wachtwoorden te kraken, als een kritisch afschrikmiddel door wachtwoord te kraken, dus tijd en resource -intensief dat aanvallers waarschijnlijk hun focus verschuiven naar gemakkelijkere doelen.
Kunnen hackers hash -algoritmen kraken?
Omdat hashing-algoritmen eenrichtingsfuncties zijn, is de enige methode om hash-wachtwoorden te compromitteren via brute force-technieken. Cyberaanvallers gebruiken speciale hardware zoals GPU’s en Cracking Software (bijv. Hashcat, L0Phtcrack, John de Ripper) om brute krachtaanvallen op schaal uit te voeren – meestal miljoenen of miljarden of combinaties tegelijk.
Zelfs met deze geavanceerde speciaal gebouwde kraaktools kunnen het kraken van het wachtwoord dramatisch variëren, afhankelijk van het specifieke gebruikte hash-algoritme en de combinatie van wachtwoordlengte/tekens. Lange, complexe wachtwoorden kunnen bijvoorbeeld duizenden jaren duren om te kraken, terwijl korte, eenvoudige wachtwoorden onmiddellijk kunnen worden gebarsten.
De volgende barchmarks werden allemaal gevonden door specops op onderzoekers op een NVIDIA RTX 4090 GPU en gebruikte hashcat -software.
MD5
Ooit beschouwd als een industrieel hash -hash -algoritme, wordt MD5 nu als cryptografisch tekortkomend beschouwd vanwege de verschillende kwetsbaarheden van de beveiliging; Dat gezegd hebbende, het blijft een van de meest gebruikte hashing -algoritmen. De populaire CMS WordPress gebruikt bijvoorbeeld nog steeds standaard MD5; Dit is goed voor ongeveer 43,7% van de CMS-websites.
Met direct beschikbare GPU’s- en Cracking-software kunnen aanvallers onmiddellijk numerieke wachtwoorden van 13 tekens kraken of minder beveiligd door MD5’s 128-bit hash; Aan de andere kant zou een wachtwoord van 11 tekens bestaande uit cijfers, hoofdletters/kleine letters en symbolen 26,5 duizend jaar duren.
SHA256
Het SHA256 hashing-algoritme behoort tot het Secure Hash-algoritme 2 (SHA-2) groep hashing-functies ontworpen door de National Security Agency (NSA) en vrijgegeven door het National Institute of Standards and Technology (NIST). Als een update van het gebrekkige SHA-1-algoritme wordt SHA256 beschouwd als een robuust en zeer veilig algoritme dat geschikt is voor de beveiligingstoepassingen van vandaag.
Bij gebruik met lange, complexe wachtwoorden is SHA256 bijna ondoordringbaar met behulp van brute force -methoden – een 11 -tekens SHA256 -gehashed wachtwoord met nummers, bovenste/kleine letters en symbolen duurt 2052 jaar om te kraken met GPU’s en Cracking Software. Aanvallers kunnen echter onmiddellijk negen tekens SHA256-gehasde wachtwoorden bestaande bestaande uit alleen numerieke of kleine letters.
Bcrypt
Beveiligingsexperts beschouwen zowel SHA256 als BCRYPT als voldoende sterke hashing -algoritmen voor moderne beveiligingstoepassingen. In tegenstelling tot SHA256, bolt BCrypt echter zijn hashing -mechanisme door het gebruik te maken van zout – door een willekeurig stukje gegevens aan elke wachtwoordhash toe te voegen om uniekheid te garanderen, maakt BCrypt wachtwoorden zeer veerkrachtig tegen woordenboek of brute krachtpogingen. Bovendien gebruikt BCRYPT een kostenfactor die het aantal iteraties bepaalt om het algoritme uit te voeren.
Deze combinatie van zout en kostenfactor maakt BCrypt extreem bestand tegen woordenboek en brute krachtaanvallen. Een cyberaanvaller die GPU’s en Cracking-software gebruikt, zou 27.154 jaar duren om een wachtwoord van acht tekens te kraken die bestaat uit cijfers, hoofdletters/kleine letters en symbolen gehasht door BCrypt. Numerieke of kleine BCRYPT-wachtwoorden onder acht tekens zijn echter triviaal om te kraken, waardoor het tussen een paar uren tot enkele seconden kan worden gecompresseerd om een compromis te sluiten.
Hoe komen hackers rond hash -algoritmen?
Ongeacht het hashing -algoritme, de gemeenschappelijke kwetsbaarheid is korte en eenvoudige wachtwoorden. Lange, complexe wachtwoorden met nummers, hoofdletters en kleine letters en symbolen zijn de ideale formule voor wachtwoordsterkte en veerkracht. Hergebruik van het wachtwoord blijft echter een belangrijk probleem; Slechts één gedeeld wachtwoord, ongeacht hoe sterk, opgeslagen in platte tekst op een slecht beveiligde website of service, kan cyberaanvallers toegang geven tot gevoelige accounts.
Bijgevolg hebben cyberaanvallers vaker geschreven referenties en blootgestelde wachtwoordlijsten van het donkere web in plaats van te proberen lange, complexe wachtwoorden te kraken die zijn beveiligd met moderne hash -algoritmen. Het kraken van een lang wachtwoord met BCrypt is vrijwel onmogelijk, zelfs met speciaal gebouwde hardware en software. Maar het gebruik van een bekend gecompromitteerd wachtwoord is direct en effectief.
Om uw organisatie te beschermen tegen overtreden wachtwoorden, scant het specopps wachtwoordbeleid continu uw Active Directory tegen een groeiende database van meer dan 4 miljard unieke gecompromitteerde wachtwoorden. Neem contact op voor een gratis proefperiode.
