Hlavní navigace

Názor k článku Jak jsem crackoval hesla z úniku Mall.cz od Filip Jirsák - To, o čem se tady diskutuje, je obrana...

  • Článek je starý, nové názory již nelze přidávat.
  • 15. 9. 2017 7:14

    Filip Jirsák

    To, o čem se tady diskutuje, je obrana proti útoku hrubou silou – zkoušení všech potenciálních variant hesla tak dlouho, dokud se netrefím. Samozřejmě, že např. šestiznakové heslo skládající se jen z malých písmen, je velmi málo potenciálních hesel oproti třeba šestnáctiznakovému heslo s malými písmeny, velkými, číslicemi a symboly. Takže podstatné je to, jak útočník odhadne potenciální množinu hesel. Pokud heslo volíte náhodně z desetiznakových hesel, kde mohou být malá a velká písmena, číslice a symboly, útočník to ví, ale vám náhodou vyjde to heslo takové, že se skládá jen z malých písmen, je to heslo stejně dobré, jako by mělo všechny požadované typy znaků. (Ty kontroly, zda se v hesle vyskytují všechny požadované typy znaků, ve skutečnosti kvalitu hesla snižují, protože množinu možných hesel zmenšují.) V reálném světě ale musíte počítat s tím, že útočník nebude znát přesný způsob, jak hesla tvoříte – naopak bude hesla zkoušet od nejjednodušších po složitější. Takže prakticky bude to heslo skládající se jen z malých písmen méně bezpečné, protože přijde při lámání na řadu dřív.

    Čímž se dostáváme k odpovědi na vaší otázku. Pokud bude mít útočník podezření, že jako heslo používáte čtveřici anglických slov, může zkusit pomocí slovníku vytvářet kombinace (a v takovém případě to nejspíš vzdá předem, protože je to pro dnešní techniku bezpečné heslo). Pokud ale útočník získá podezření, že jako heslo používáte dvojici anglických slov, kterou jenom zapíšete dvakrát za sebou, pustí se do louskání, protože jste tím bezpečnost hesla snížil obrovsky – za podmínek uvedených v tom stripu bude vyzkoušení všech variant trvat hodinu a deset minut (oproti 550 rokům ve stripu).

    Já bych takhle ošizená hesla nepoužíval, protože to závisí jenom na tom, že útočníka nenapadne, že by se jednoduchá hesla dala vytvářet i tímhle způsobem. A na to mám jednoduchý argument – když takový postup napadl mne, napadne nejspíš i útočníka. Který na to navíc má spoustu času a není na to sám – stačí, aby to jeden člověk implementoval do crackovacího programu, a hned to mohou používat všichni útočníci, aniž by je ten postup vůbec musel napadnout. Ten váš příklad je klasickou ukázkou toho, kdy je bezpečnost daná ne vstupními daty, ale tím, že útočník nezná algoritmus – a to nikdy není považováno za bezpečné.