Monday, June 06, 2011

Parole Parole Parole

M-a luat putin cu fiori cind am vazut articolul acesta: http://blog.zorinaq.com/?e=43. Cu o investitie relativ modesta (sub 1500EUR) poti sa-ti cumperi o masina care sa "sparga" prin brute-force un hash MD5 cu o viteza de 33 miliarde de hash-uri verificate pe secunda (33GHash/s). Pentru unii poate aceste numere nu inseamna mare lucru, dar sa facem niste calcule. Presupunem ca parola care o folosesti in mod curent este din 8 caractere, litere mari si mici si include si cifre: 26+26+10 = 62 caractere posibile. Numarul de combinatii este de 62 la puterea 8 (numarul de caractere).

62^8 = 218,340,105,584,896 combinatii

218,340,105,584,896 combinatii / 33,000,000,000 Hash/s / 3600 (sec. intr-o ora) = 1.83h

Deci pe o masina relativ ieftina se poate sparge o parola relativ complexa in 1.83 ore. Wow!
Cum parolele care le folosesc eu de obicei sunt din 10 caractere, litere mari si mici si cifre, am fost extrem de curios sa vad cit rezista:

62^10 / 33,000,000,000 / 60 / 60 / 24 = 294.36 zile (cam 9 luni).

Probabil ca unii s-ar simti in siguranta cu 9 luni, dar sincer e o perioada foarte scurta, avind in vedere faptul ca algoritmul folosit e extrem de paralelizabil, si singura bariera e costul, care pentru guverne si corporatii cu bani de aruncat nu e o problema. Cheltui 1milion de EUR si cresti viteza de 1000 de ori si cele 9 luni se reduc la 7h pentru o solutie care o credeai destul de sigura.

Ce e de facut atunci ? Poti creste complexitatea parolei (simboluri pe linga ce ai deja) si la o parola de 10 caractere din 62 caractere posibile mai adaugi inca 10 caractere (simbolurile): ai trecut de la 297 zile la 1313 zile, solutie foarte putin satisfacatoare. Cresti lungimea parolei de la 10 la 11 caractere (fara simboluri) si deja creste timpul de la 9 luni la 50 de ani. Asa mai da! :) Si in final de la 10 la 12 caractere (tot fara simboluri) ajungi la 3100 ani, lucru care si cresterea vitezei de 1000 de ori il reduce la 3.1 ani, care pe mine ma satisface: Daca cineva e dispus sa consume 3 ani de energie (cam 1MW/h, in 3 ani ajungi pe la 900,000 EUR) ca sa-mi sparga mie o parola, distractie placuta!

Concluzia pentru cei care vor securitate e:
- 12 caractere cel putin pentru parole
- folositi hash-uri mai complexe ( si mai lent de implementat - inca ) SHA512

http://www.youtube.com/watch?v=eZFs33Eq0-M pentru inspiratie.

Spor!
Posted by at

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)