Kybernetická bezpečnosť sa vyvíja, a to obrovským tempom. Vďaka umelej inteligencii je prelomenie hesiel jednoduchšie a rýchlejšie ako kedykoľvek predtým. Napriek tomu sa odporúčania pre vytváranie hesiel za posledné roky príliš nezmenili. Aj keď vieme, že heslá by mali byť dlhé, zložité a unikátne pre každý účet, mnohí stále používajú jednoduché a opakujúce sa heslá.
Zlodeji hesiel najčastejšie využívajú dve hlavné metódy: hrubú silu (vyskúša všetky možné kombinácie znakov) a slovníkové útoky (používajú zoznamy bežne používaných hesiel). Obe tieto metódy sú stále účinné.
Preto už roky odborníci na kyberbezpečnosť odporúčajú používať aj dvoj- alebo viacfaktorové overovanie totožnosti. Súčasťou zabezpečenia hesiel na strane serverov, teda tam, kam sa prihlasujete, tak musí byť robustné riešenie na ochranu hesiel. Preto by na nich malo byť heslo prevedené z klasického formátu (teda takého, ako ho zadávate) do hasha.
Čo je to hash?
Predstavte si heslo ako kľúč. Namiesto toho, aby sme tento kľúč nechali ležať voľne, zamkneme ho do špeciálnej schránky. Táto schránka je tak dobre zabezpečená, že aj keď niekto schránku nájde, nedokáže z nej kľúč jednoducho vybrať. A to isté musia riešiť prevádzkovatelia služieb, ku ktorým sa prihlasujeme.
Ak by sa totiž stalo, že by im niekto nabúral systém a odcudzil heslá, útočníci by získali prístup nielen k ich účtom, ale tí, ktorí rovnaké heslo používajú aj do iných služieb, tak by sa tiež mohli skúsiť dostať aj do nich.
Táto schránka je v počítačovom svete nazývaná hash. Ide o akýsi odtlačok prsta hesla. Je to jedinečný reťazec znakov, ktorý vznikne z hesla pomocou matematického vzorca. A keď sa v hesle zmení len jedno písmenko, odtlačok prsta (hash) bude úplne iný. Takže v prípade hesiel k účtom sa do služieb namiesto skutočného hesla ukladajú iba ich odtlačky. Pokiaľ by sa niekto dostal k týmto dátam, videl by len nezmyselný reťazec znakov a nedokázal by z neho odvodiť pôvodné heslo.
Navyše, pri prihlasovaní nemusí počítač porovnávať celé heslo, stačí porovnať jeho odtlačok. Čo autentizáciu urýchľuje. Prelomenie hesiel majú hackeri vďaka tomu ťažšie, ale aj tak to je možné dosiahnuť. Snažia sa totiž zistiť, aké heslo patrí k určitému odtlačku. Robia to tak, že vyskúšajú obrovské množstvo rôznych kombinácií znakov a pre každú kombináciu spočítajú odtlačok. Ak sa nejaký vypočítaný odtlačok zhoduje s tým, ktorý majú, našli správne heslo.
Superčipy zrýchľujú prelomenie
Na urýchlenie výpočtov sa využívajú špeciálne počítačové čipy, ktoré sú pôvodne určené pre grafické karty. Tieto čipy sú totiž veľmi výkonné vo vykonávaní rovnakých výpočtov znova a znova, čo je presne to, čo je potrebné na hľadanie hesiel. Populárna aplikácia používaná na prelomenie hashov pomocou grafických kariet sa volá Hashcat. Tá obsahuje bcrypt, čo je špeciálny druh šifrovania, ktorý sa často používa práve na ukladanie hesiel.
S novými poznatkami ohľadom prelamovania hesiel zašifrovaných hashom bcrypt prišla spoločnosť Hive Systems, ktorá už od roku 2020 pátra po tom, ako rýchlo by hackerom trvalo odhaliť vaše heslo. Výsledky pravidelne zhŕňajú do reportov a tabuliek. Nejde však len o obyčajnú tabuľku, ale výsledok zložitého výskumu.
Na rozdiel od jednoduchších spôsobov šifrovania je bcrypt navrhnutý tak, aby bol odolný proti pokusom o prelomenie. To znamená, že aj keď má útočník k dispozícii veľmi výkonný počítač, môže trvať veľmi dlho, kým sa podarí bcrypt heslo prelomiť. Avšak ako sa zdokonaľujú a zrýchľujú výpočtové čipy, tak sa potrebná doba na prelomenie logicky skracuje.
Takže vo výsledku na prelomenie osemznakového hesla šifrovaného pomocou bcrypt s veľmi výkonným výpočtovým hardvérom (12-krát GPU čip Nvidia A100 Tensor) môže dôjsť za 12 rokov. Ale pozor, pokiaľ by došlo k použitiu 10-tisíc A100 Tensor čipov, tak potom by stačilo len päť dní.
Ak by bola použitá metóda šifrovania pomocou predtým hojne používaného hashovacieho algoritmu MD5, tak by stačilo 12 minút, respektíve sekunda v prípade použitia 10-tisíc A100 Tensor čipov.
MD5 bol síce veľmi populárny, ale v posledných rokoch dominuje práve algoritmus bcrypt. Aj napriek tomu, že sa odporúča na ukladanie dát používať ešte pokročilejšie algoritmy ako napr. PBKDF2 s SHA-256, reálne dáta z rôznych únikov hesiel ukazujú, že bcrypt je stále tým najčastejšie používaným.
Skontrolujte si silu svojho hesla
Nasledujúca tabuľka ukazuje, ako rýchlo dokáže superpočítač s 12 grafickými kartami Nvidia RTX 4090 prelomiť rôzne typy hesiel. Napríklad osemmiestne heslo zložené len z číslic by bolo prelomené za 37 sekúnd. Ale ak by boli použité malé písmená, trvá to už 22 hodín. Keby bolo heslo zložené aj z číslic, malých a veľkých písmen a špeciálnych znakov, potom prelomenie môže trvať až sedem rokov.
Ak chcete zistiť, aké bezpečné je vaše heslo šifrované bcryptom, potom spočítajte, koľko má znakov a aký typ znakov obsahuje (či čísla, písmená, špeciálne znaky). Podľa toho v tabuľke nájdete zodpovedajúci čas, za ktorý by ho počítač s 12 grafickými kartami RTX 4090 mohol prelomiť.
Záver
Ako je vidieť, nestačí už používať iba číslice, malé a veľké písmená a špeciálne znaky, ale heslo by malo byť zložené aspoň zo 16 znakov. Zabúdať by sa pritom nemalo ani na jedinečnosť hesiel – mať pre každú službu iné. Zároveň myslite na to, že niektoré útoky môžu odhaliť heslá bez toho, aby bolo nutné použiť hrubú silu alebo ich prelomiť.
To je prípad phishingu, ktorý sa pokúša nalákať používateľov na falošné weby alebo ich prinútiť k používaniu falošných aplikácií ku krádeži ich prihlasovacích údajov. Preto by malo byť zapojené aj dvojfaktorové overovanie, ktoré pridáva druhý krok overovania.
Aj keď to možno znie zložito, v skutočnosti to tak nie je. Stačí si do mobilu nainštalovať aplikáciu na overovanie a aktivovať dvojfaktorové overenie. Pri každom prihlasovaní budete musieť okrem svojho užívateľského mena a hesla zadať ešte jednorazový bezpečnostný kód, ktorý vám vygeneruje táto aplikácia.
Tým výrazne sťažíte neoprávnený prístup k svojim účtom. Pokiaľ by niekto odcudzil užívateľské meno a heslo, či už pomocou útokov hrubou silou alebo inými prostriedkami, prístupu bude stále zabránené vďaka druhej vrstve zabezpečenia. A preto by ste toto zabezpečenie mali používať všade tam, kde je to možné.