Salasanojen murtamisesta tuli pikkurahalla tehtävää toimintaa
2 kommenttia
Pilvilaskenta on vienyt salasanojen murtamisen aivan uudelle tasolle. Ensin avattiin WPAcracker.com, joka lupaa murtaa WPA- ja WPA-PSK-salauksen keskimäärin 20 minuutissa 17 dollarin hintaan – siis reilulla kympillä. WPAcracker.com tarjoaa 400 prosessorin klusterin ja satojen miljoonien WPA-salasanojen sanakirjan kenen tahansa maksavan asiakkaan käyttöön.
Nyt on salasanojen testaajille julkaistu uusi lelu, kun Amazon avasi hiljattain uuden NVIDIA Tesla M2050 GPU -prosessoreihin perustuvan pilvipalvelunsa.
Tietoturva-asiantuntijat demosivat uuden klusterin salasanojen murtokykyä pian avaamisen jälkeen. Työkaluksi oli valittu Cryptohaze Multiforcer, joka asennettiin CUDA-rajapintaa hyväksi käyttäen EC2:n GPU -klusterin ajettavaksi. 14 SHA-1-hasheillä suojatun, lyhyen (yhdestä kuuteen ASCII-tekstimerkkiä) salasanan murtaminen klusterilla kesti 49 minuuttia. Hinta? Alle 2 dollaria. Salasanojen murtoa massoille todellakin.
Onko salalauseesi riittävän vaikea?
Nyt viimeistään on aika ryhtyä käyttämään pitkiä salasanoja. Itse asiassa suosittelen unohtamaan salasanat ja siirtymään salalauseiden käyttöön:
esimerkiksi “TÄMÄ_on_minun_43_merkkiä_pitkä_salalauseeni”.
Vaikka SHA-1-algoritmi on osoitettu heikoksi kollisiohyökkäyksiä vastaan jo jonkin aikaa sitten, tarjoaa sekin yhä huomattavaa suojaa, jos salalause vain on riittävän pitkä.
Salalauseen pituus toimii tehokkaana suojana brute force -hyökkäyksiä vastaan, mutta salalauseet on suojattava myös niin sanottuja sanakirja- ja rainbow table -hyökkäyksiä vastaan. Varmista, että käytät salalauseessasi erikoismerkkejä kirjainten ja numeroiden lisäksi. Käytä harvinaisia kieliä (esim. Cobol, suomi) tai vaihtoehtoisesti haasta murtajat käyttämällä esimerkiksi heksadesimaalisalasanoja. Mitä vain, mutta pyri keksimään mahdollisimman ainutlaatuisia tapoja kirjoittaa tekstisi tavalla, jolla vältetään salalauseidesi löytyminen murtajien sanakirjoista ja ennalta lasketuista rainbow table -taulukoista. Tällaisten murtokeinojen käyttö hash-suojattujen salasanojen murtamisessa on tietojärjestelmien laskutehon kasvettua kovinkin yleistynyt.
Entä käyttääkö SHA-2:ta?
Mitä erilaisiin hash-algoritmeihin tulee, kävimme mielenkiintoisen keskustelun viime viikolla kollegani kanssa täällä Nixussa block cipher -algoritmien käytöstä hash-summien laskemiseksi erilaisille syötteille. Siitä lisää blogissa ehkä myöhemmin, mutta mainittakoon vielä, että SHA-1-algoritmiin ei tulisi enää luottaa arkaluontoisen tiedon salauksessa. Kuten yllä mainittiin on algoritmi osoittautunut haavoittuvaksi ns. collision-hyökkäyksille jo useita vuosia sitten. Niinpä suosittelenkin SHA-2-algoritmien käyttöä toistaiseksi ennen kuin SHA-3-algoritmi julkaistaan näillä näkymin vuonna 2012.
Ville Hollanti työskentelee tietoturvakonsulttina Nixun Inspect-yksikössä. Hänellä on useiden vuosien kokemus tunkeutumisenestopalveluiden kehittämisestä ja toteuttamisesta sekä tietoturvakonsultoinnista yritystasolla.
blogi