2013/08/27

Passwords longas já podem ser Crackadas com (mais) Facilidade


Com o avanço dos computadores (e mais concretamente dos GPUs) que possibilitam testar milhões de combinações por segundo, as passwords de tamanho reduzido já não oferecem qualquer desafio. Uma password de oito caracteres pode ser rapidamente "crackada" numa questão de minutos ou horas - e isso fez com que muitas pessoas recomendassem o uso de frases-chave em vez de palavras-chave.

Mas se pensam que passwords como "thereisnofatebutwhatyoumake" ou até mesmo "Ph'nglui mglw'nafh Cthulhu R'lyeh wgah'nagl fhtagn!" vos manteriam a salvo... estão enganados.


O popular programa de crackar passwords ocl-Hashcat tem agora uma nova versão, o ocl-Hashcat-plus, que deixa de estar limitado à descoberta de passwords com um máximo de 15 caracteres. Com esta nova versão é possível aventurarem-se na descoberta de passwords com 55 caracteres de comprimento (e podendo até chegar aos 64, dependendo das técnicas escolhidas).  Claro que para estes casos já não se pode depender de uma técnica de tentativa "burra", pois o número de possibilidades cresce exponencialmente com cada caracter extra - mas uma vez que muitas das pessoas que utilizam estas passwords de tamanho gigante optará pela utilização de palavras/frases conhecidas e/ou com variantes, a tarefa fica simplificada.

Usando-se dicionários de passwords conhecidas, frases de obras literárias, de filmes, de discussões e artigos online, e vários algoritmos que aplicam variações populares, o número de possibilidades desce dos "quadriliões" para apenas as centenas de milhões ou biliões... algo que já fica ao alcance dos sistema actuais. (É referido que num PC com duas AMD HD 6990, o ocl-Hashcat-plus é capaz de testar 223 mil passwords por segundo, correndo todo o dicionário de 14.3 milhões passwords do "RockYou" em apenas 65 segundos).

É por isso que as passwords como "thereisnofatebutwhatyoumake" tirada do filme Terminator, ou até mesmo "Ph'nglui mglw'nafh Cthulhu R'lyeh wgah'nagl fhtagn!" pertencente ao célebre The Call of Cthulhu de H.P. Lovecraft deixam de ser tão seguras quanto se poderia imaginar.

Importa referir que este tipo de ataques apenas se torna possível quando um hacker consegue ter acesso a uma base de dados das passwords "hashadas" de um site ou serviço - não é algo que possa ser aplicado directamente em tentativas de login de um serviço como o Facebook ou Gmail. Ou seja, para que este tipo de técnica seja possível será necessário já ter havido uma falha de segurança que tenha permitido roubar esses dados (coisa que infelizmente tem sido frequente nos últimos tempos).

Se quiserem colocar as vossas passwords à prova, ou testar a vossa capacidade de "hacker" a descobrir passwords, podem descarregar o ocl-Hascat-plus aqui.

[via Ars]

2 comentários:

  1. Não entendo quando é que os ssistemas de passwords acabam e são substituídos por um sistema realmente inovador e que não dependam de memorizar uma palavra/frase com dezenas de caracteres.

    Há velocidade com que as técnicas de cracking evoluem e o poder computacional aumenta, dentro em breve é necessário decorar uma string do tamanho do Guerra e Paz.

    Para mim, as passwords tem os dias contados mas alternativas não aparecem ao mesmo ritmo (vamos lá ver quando é que descobrem uma falha nos algoritmos de 2 step-auth da Google e de outros)

    ResponderEliminar
    Respostas
    1. Pessoalmente, o sistema que mais me agrada actualmente é fazer só o login com o email - e receber no email um url com token temporário para aceder ao serviço.

      ... Claro que isso coloca toda a dependência da segurança no serviço de email. Mas se se tiver confiança suficiente nele (com 2 step e isso, que assim fica limitado a um só)... parece-me uma excelente opção. (Embora por outro lado se possa por em causa a segurança de algo que vai seguir em plain text por servidores de email... Não é fácil! :)

      Eliminar