Hakerzy łamią 8-znakowe hasło w godzinę

Nawet osoby niewtajemniczone w tajniki cyberbezpieczeństwa wiedzą, że podstawową cechą silnego hasła jest liczba znaków. Jednak niedawno obalono mit, iż hakerzy nie złamią hasła składającego się z 8 znaków.

W wielu poradnikach dotyczących bezpieczeństwa IT często można spotkać zalecenia, aby hasła zawierały co najmniej 8 znaków. To rekomendacja powielana od kilku lat na zasadzie „kopiuj i wklej”. Świat nowych technologii szybko się zmienia i zalecenia sprzed trzech czy dwóch lat, dziś są niewiele warte. Tak się dzieje właśnie w przypadku haseł. Eksperci ds. bezpieczeństwa są zgodni, że hasła składające się z ośmiu znaków wcale nie gwarantują użytkownikom bezpieczeństwa. Firma Hyve Systems wykorzystała do złamania takiego hasła komputer z procesorem GPU Nvidia RTX 4090. Przebrnięcie przez każdą możliwą 8-znakową kombinację liter (wielkie i małe) oraz cyfr i symboli, zajmuje tej maszynie mniej niż godzinę. To czas dwa razy lepszy od najszybszej karty graficznej sprzed dwóch lat.

Zdaniem specjalistów, obecnie do zatrzymania napastników powinna wystarczyć 12-znakowa kombinacja znaków, ale im więcej tym lepiej. Pojawiają się rekomendacje, by stosować hasło składające się min z 4 przypadkowych słów.

• Według ekspertów zwiększenie długości haseł jest o wiele ważniejsze niż dodanie wymagań w zakresie złożoności, czyli używania cyfr, liter i symboli. Bardzo ważne, aby hasło miało charakter losowy. Napastnicy zaczynają łamanie hasła od imienia żony, daty urodzenia itp. Dlatego menedżery haseł nigdy nie podsuwają użytkownikom tak prostych sekwencji – wyjaśnia Rafał Dembicki, Technical Director z firmy Log Plus

Firma 1Password, dostawca popularnego menedżera haseł, stosuje kombinacje 19 lub 20 znaków, w zależności od wersji. Niemniej na firmowym blogu przyznaje, że jeśli hasło zostanie odpowiednio wygenerowane w zupełności wystarczy od 11 do 15 znaków. Konkurent – NordPaas zaleca hasło składające się z 12 znaków, aczkolwiek najlepsze zabezpieczenie, uwzględniające zwiększające się moce procesorów obliczeniowych, powinno posiadać 16 znaków.

• Nasze stanowisko w zakresie tworzenia haseł jest bardzo podobne. Chętnie podpisujemy się pod rekomendacją Microsoftu, czyli co najmniej 12 znaków, oczywiście im więcej tym lepiej. Do tego trzeba pamiętać o kombinacji wielkich, małych liter, cyfr i symboli. Nie powinno to być słowo, które można znaleźć w słowniku lub imię osoby, postaci, produktu lub organizacji – tłumaczy Rafał Dembicki

Warto na koniec dodać, iż specjaliści z firmy Proton, oferujący szyfrowane usługi poczty elektronicznej, obliczyli, że hasło złożone z 15 wygenerowanych losowo znaków znajduje się poza zasięgiem najbardziej nowoczesnych systemów obliczeniowych.