16 Февраля, 2019

Использовать 8-символьный пароль Windows NTLM? Не выход! Каждый такой пароль может быть взломан менее чем за 2,5 часа

Владимир Безмалый

Пароль CorrectHorseBatteryStaple более безопасный и запоминающийся, чем ff3sd21n

В 2011 году исследователь безопасности Стивен Майер продемонстрировал, что восьмисимвольный (53-битный) пароль может быть взломан за 44 дня или за 14 секунд, если вы используете графический процессор (GPU) и радужные таблицы — предварительно вычисленные таблицы хешей.

Когда в 2015 году разработчик Джефф Этвуд сказал об этом , средняя длина пароля составляла около восьми символов, и нет никаких признаков того, что что-то изменилось. Приблизительно 620 миллионов украденных учетных данных поступят в продажу на этой неделе на рынке Dark Web, и сейчас самое подходящее время для проверки пароля.

В своем сообщении в Twitter в среду разработчики программного обеспечения сообщили, что откорректированная сборка бета-версии HashCat версии 6.0.0 с использованием восьми графических процессоров Nvidia GTX 2080Ti в автономной атаке превысила эталонный показатель скорости взлома NTLM, составляющий 100 гигабит/с (гигабит в секунду).

«Текущие тесты взлома паролей показывают, что минимальный восьмисимвольный пароль, независимо от сложности, может быть взломан менее чем за 2,5 часа с использованием этой аппаратной оснастки», — пояснил хакер, проходящий под псевдонимом Тинкер в Твиттере в беседе с The Register. Пароль из восьми символов мертв.

Это верно, по крайней мере, в контексте хакерских атак на организации, использующие Windows и Active Directory. NTLM — это старый протокол аутентификации Microsoft, который с тех пор был заменен на Kerberos. По словам Тинкера, он по-прежнему используется для локального хранения паролей Windows или в файле NTDS.dit на контроллерах домена Active Directory.

Более надежные алгоритмы хеширования занимают больше времени, иногда на несколько порядков дольше.

По оценкам Тинкера, покупка описанного графического процессора потребует около 10 000 долларов; другие утверждают, что для взлома восьмисимвольного хеш-пароля NTLM можно взять компьютер в облаке Amazon всего за 25 долларов .

В последних рекомендациях NIST говорится, что пароли должны содержать не менее восьми символов . Некоторые поставщики онлайн-услуг даже не требуют так много.

Когда исследователь безопасности Трой Хант изучил минимальную длину паролей на различных сайтах в прошлом году, он обнаружил, что в то время как Google, Microsoft и Yahoo установили планку в восемь, Facebook, LinkedIn и Twitter потребовалось всего шесть .

Тинкер сказал, что восьмизначный пароль использовался в качестве эталона, потому что это то, что многие организации рекомендуют в качестве минимальной длины пароля, и многие корпоративные ИТ-политики отражают это руководство.

Так сколько же времени достаточно, чтобы спокойно спать, пока следующий технический прогресс не изменит все? Тинкер рекомендует случайную парольную фразу из пяти слов, что-то вроде примера из четырех слов, популярного в онлайн-комиксе XKCD , «correcthorsebatterystaple».

Тот или иной произвольный пароль максимальной длины с помощью приложения для управления паролями, с включенной двухфакторной аутентификацией в любом случае.

Через Twitter DM администратор HaveIBeenPwned Трой Хант рассказал The Register, что, хотя в веб-приложениях все чаще используются лучшие алгоритмы хеширования, чем в NTLM, например, bcrypt, «я всегда делаю свои пароли из десятков случайных символов, генерируемых 1Password».

Оригинал