2010/11/09

Crackar Password em 5 Segundos

A escolha de passwords difíceis de adivinhar tem mantido muitos computadores e sistemas seguros ao longo dos anos.
Mas... parece que em breve, nem uma password de de 14 caracteres complexos estará segura.

Uma companhia de segurança diz ser capaz de crackar passwords complexas de 14 caracteres em apenas 5 segundos.


E olhem que quando se referem a passwords complexas estão a referir-se a coisas como:
*mZ?9%^jS743:!

Este processo faz uso das chamadas rainbow tables, que permitem "descodificar" a hash de uma password guardada num sistema.
Podendo ocupar vários Terabytes, esta técnica até agora estava limitada pela velocidade de acesso aos discos. Mas... graças aos SSDs e aos seus tempos de acesso quase instântaneos, esta técnica permite agora testar passwords a velocidades de 300 mil milhões de passwords por segundo, podendo descobrir as tais passwords complexas de 14 caracteres em cerca de 5 segundos.

Para demonstrar, foram usadas algumas hashes capturadas de um computador de testes com Windows XP SP3 "comprometido"

hash: aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0
Password: Sem password…
Tempo: 2 segundos

Hash: 17817c9fbf9d272af44dfa1cb95cae33:6bcec2ba2597f089189735afeaa300d4
Password: 72@Fee4S@mura!
Tempo: 5 segundos

Hash: ac93c8016d14e75a2e9b76bb9e8c2bb6:8516cd0838d1a4dfd1ac3e8eb9811350
Password: (689!!!<>”QTHp
Tempo: 8 segundos

Hash: d4b3b6605abec1a16a794128df6bc4da:14981697efb5db5267236c5fdbd74af6
Password: *mZ?9%^jS743:!
Tempo: 5 segundos

Hash: 747747dc6e245f78d18aebeb7cabe1d6:43c6cc2170b7a4ef851a622ff15c6055
Password: T&p/E$v-O6,1@}
Tempo: 11 segundos


O que isto significa... é que até uma password complexa deixa agora de ser uma medida de segurança "efectiva" caso um atacante ganhe acesso às hashes.

5 comentários:

  1. Carlos Silva9/11/10 10:12

    Com a velocidade dos CPUs a aumentar e a descoberta de novas técnicas de decifragem qual vai ser o futuro da encriptação ? Chaves privadas/publica de 1 GibaBit ?

    O AES-128 usado pela banca e outras instituíções mantém-se seguro durante quanto tempo ?

    Ou será que daqui alguns anos o cloud computing deixa de ser usado por falta de segurança dos sistemas de segurança ?

    :)

    ResponderEliminar
  2. @Carlos Silva
    As comunicações com chave pública/privada não estão comprometidas com esta técnica.

    ResponderEliminar
  3. Fazer o teste num SO do "século passado"......
    Foi para não alarmar muito?

    ResponderEliminar
  4. Acerca das rainbow tables: "A salt is often employed with hashed passwords to make this attack more difficult, often infeasible." - isto é práctica comum!
    Qualquer ataque de brute-force conhecido pode ser evitado se se utilizar SHA-224 ou SHA-256 (onde ainda não foram encontradas colisões) em vez de SHA-1.

    ResponderEliminar
  5. Como disse o caro colega anónimo armazenar passwords com salt complica muito o trabalho a quem quiser utilizar rainbow tables.
    Tenho ideia que até o wordpress e outros cms estão a utilizar salts porque roubar a lista de utilizadores de cms como esses quando existem falhas é muito comum

    ResponderEliminar