Niebezpieczne upływające hasła
Badania przeprowadzone na University of South Carolina wykazały, że hasła z ograniczonym terminem ważności można łatwo złamać. Okazało się, że 40 proc. takich haseł można złamać w ciągu 3 sekund.
Administratorzy sieci bardzo często ustawiają hasła użytkowników tak, by po jakimś czasie ich ważność upływała i użytkownik musiał zastosować inne hasło. Naukowcy przetestowali takie hasła za pomocą łatwo dostępnego narzędzia John The Ripper, które przeprowadza ataki brute-force posługując się słownikiem zaledwie 50 000 wyrazów.
Wykorzystano je do sprawdzenia historii haseł dla 7936 kont. Okazało się, że gdy udało już się zdobyć jedno hasło dla każdego z kont, to możliwe było zdobycie wszystkich haseł dla 54 proc. z nich oraz co najmniej połowy dla 90 proc. Dzieje się tak dlatego, że około 50 proc. użytkowników zmuszonych do zmiany hasła używa dotychczasowego hasła dodając doń cyfrę, a przy kolejnej zmianie hasła powiększają ją o jeden lub jakąś określoną wartość.
Szczegółowe wyliczenia pokazały, że w wyniku takiego sposobu postępowania użytkowników atakujący, który już wcześniej wszedł w posiadanie starego hasła, jest w stanie w ciągu 3 sekund złamać 41 proc. nowych haseł.
Uczeni uważają, że lepszym wyjściem jest rezygnacja z ograniczonych czasowo haseł na rzecz wymuszenia na użytkownikach, by korzystali z dłuższych trudniejszych do odgadnięcia ciągów znaków.
Mariusz Błoński
