
Sementara kata sandi tetap menjadi lini pertahanan pertama untuk melindungi akun pengguna dari akses yang tidak sah, metode untuk membuat kata sandi yang kuat dan melindunginya terus berkembang. Misalnya, rekomendasi kata sandi NIST sekarang memprioritaskan panjang kata sandi daripada kompleksitas. Hashing, bagaimanapun, tetap tidak bisa dinegosiasikan. Bahkan frasa sandi yang aman harus hash untuk mencegah mereka benar -benar terpapar jika terjadi pelanggaran data – dan tidak pernah disimpan dalam plainxext.
Artikel ini membahas bagaimana penyerang cyber saat ini berusaha memecahkan kata sandi hash, mengeksplorasi algoritma hashing umum dan keterbatasannya, dan membahas langkah -langkah yang dapat Anda ambil untuk melindungi kata sandi hash Anda, terlepas dari algoritma mana yang Anda gunakan.
Teknik retak kata sandi modern
Aktor jahat memiliki serangkaian alat dan metode yang mereka miliki untuk memecahkan kata sandi hash. Beberapa metode yang lebih banyak digunakan termasuk serangan brute force, serangan kamus kata sandi, serangan hibrida, dan serangan topeng.
Serangan brute force
Serangan brute force melibatkan upaya percobaan dan kesalahan yang berlebihan dan kuat untuk mendapatkan akses akun. Aktor jahat menggunakan alat khusus untuk menguji variasi kata sandi secara sistematis sampai kombinasi yang berfungsi ditemukan. Meskipun tidak canggih, serangan brute force sangat efektif menggunakan perangkat lunak retak kata sandi dan perangkat keras komputasi bertenaga tinggi seperti unit pemrosesan grafis (GPU).
Serangan Kamus Kata Sandi
Sesuai namanya, serangan kamus kata sandi secara sistematis menarik kata -kata dari kamus ke variasi kata sandi brute force sampai menemukan kombinasi yang berfungsi. Isi kamus dapat berisi setiap kata umum, daftar kata spesifik, dan kombinasi kata, serta turunan kata dan permutasi dengan karakter alfanumerik dan non-alfanumerik (misalnya, mengganti “A” dengan “@”). Serangan Kamus Kata Sandi juga dapat berisi kata sandi yang sebelumnya bocor atau frasa kunci yang diekspos dalam pelanggaran data.
Serangan hibrida
Serangan kata sandi hybrid menggabungkan brute force dengan metode berbasis kamus untuk mencapai kelincahan dan kemanjuran serangan yang lebih baik. Misalnya, aktor jahat dapat menggunakan daftar kata kamus dari kredensial yang umum digunakan dengan teknik yang mengintegrasikan kombinasi karakter numerik dan non-alfanumerik.
Serangan topeng
Dalam beberapa kasus, aktor jahat mungkin mengetahui pola atau parameter/persyaratan kata sandi tertentu. Pengetahuan ini memungkinkan mereka untuk menggunakan serangan topeng untuk mengurangi jumlah iterasi dan upaya dalam upaya retak mereka. Serangan topeng menggunakan brute force untuk memeriksa upaya kata sandi yang cocok dengan pola tertentu (misalnya, delapan karakter, mulai dengan huruf kapital, dan diakhiri dengan angka atau karakter khusus).
Bagaimana algoritma hashing melindungi dari metode retak
Algoritma Hashing adalah andalan di berbagai aplikasi keamanan, dari pemantauan integritas file hingga tanda tangan digital dan penyimpanan kata sandi. Dan meskipun ini bukan metode keamanan yang sangat mudah, Hashing jauh lebih baik daripada menyimpan kata sandi di Plaintext. Dengan kata sandi hashed, Anda dapat memastikan bahwa bahkan jika penyerang cyber mendapatkan akses ke database kata sandi, mereka tidak dapat dengan mudah membaca atau mengeksploitasi mereka.
Dengan desain, Hashing secara signifikan menghambat kemampuan penyerang untuk memecahkan kata sandi, bertindak sebagai pencegah kritis dengan membuat kata sandi retak sehingga waktu dan sumber daya intensif yang cenderung menggeser fokus mereka ke target yang lebih mudah.
Bisakah peretas memecahkan algoritma hashing?
Karena algoritma hashing adalah fungsi satu arah, satu-satunya metode untuk mengkompromikan kata sandi hash adalah melalui teknik brute force. Penyerang cyber menggunakan perangkat keras khusus seperti GPU dan perangkat lunak retak (misalnya, Hashcat, L0Phtcrack, John the Ripper) untuk melaksanakan serangan brute force pada skala – secara tipikal jutaan atau miliaran atau kombinasi sekaligus.
Bahkan dengan alat retak yang dibuat khusus ini, waktu retak kata sandi dapat bervariasi secara dramatis tergantung pada algoritma hashing spesifik yang digunakan dan panjang kata sandi/kombinasi karakter. Misalnya, kata sandi yang panjang dan kompleks dapat memakan waktu ribuan tahun untuk retak sementara kata sandi pendek dan sederhana dapat segera retak.
Tolok ukur retak berikut semuanya ditemukan oleh Specops pada para peneliti pada GPU NVIDIA RTX 4090 dan menggunakan perangkat lunak HashCAT.
Md5
Setelah dianggap sebagai algoritma hashing kekuatan industri, MD5 sekarang dianggap kurang kriptografis karena berbagai kerentanan keamanannya; Yang mengatakan, itu tetap menjadi salah satu algoritma hashing yang paling banyak digunakan. Misalnya, CMS WordPress yang populer masih menggunakan MD5 secara default; Ini menyumbang sekitar 43,7% dari situs web bertenaga CMS.
Dengan perangkat lunak GPU dan retak yang tersedia, penyerang dapat langsung memecahkan kata sandi numerik 13 karakter atau lebih sedikit diamankan dengan hash 128-bit MD5; Di sisi lain, kata sandi 11 karakter yang terdiri dari angka, karakter huruf besar/kecil, dan simbol akan memakan waktu 26,5 ribu tahun.
Sha256
Algoritma Hashing SHA256 termasuk dalam kelompok Hashing Hashing Secure Hash Algorithm 2 (SHA-2) yang dirancang oleh Badan Keamanan Nasional (NSA) dan dirilis oleh National Institute of Standard and Technology (NIST). Sebagai pembaruan untuk algoritma SHA-1 yang cacat, SHA256 dianggap sebagai algoritma yang kuat dan sangat aman yang cocok untuk aplikasi keamanan saat ini.
Ketika digunakan dengan kata sandi yang panjang dan kompleks, SHA256 hampir tidak dapat ditembus menggunakan metode brute force— 11 karakter SHA256 kata sandi hash menggunakan angka, karakter atas/kecil, dan simbol membutuhkan 2052 tahun untuk retak menggunakan GPU dan perangkat lunak retak. Namun, penyerang dapat langsung memecahkan sembilan karakter SHA256 kata sandi yang hanya terdiri dari hanya karakter numerik atau huruf kecil.
Bcrypt
Pakar keamanan menganggap SHA256 dan BCRYPT sebagai algoritma hashing yang cukup kuat untuk aplikasi keamanan modern. Namun, tidak seperti SHA256, BCRYPT mendukung mekanisme hashingnya dengan menggunakan pengasahan – dengan menambahkan sepotong data acak ke setiap hash kata sandi untuk memastikan keunikan, BCRYPT membuat kata sandi sangat tangguh terhadap upaya kamus atau brute force. Selain itu, BCRYPT menggunakan faktor biaya yang menentukan jumlah iterasi untuk menjalankan algoritma.
Kombinasi garam dan anjukan biaya ini membuat BCRYPT sangat tahan terhadap serangan kamus dan brute force. Penyerang cyber yang menggunakan GPU dan perangkat lunak retak akan memakan waktu 27.154 tahun untuk memecahkan kata sandi delapan karakter yang terdiri dari angka, huruf besar/kecil, dan simbol hash oleh bcrypt. Namun, kata sandi bcrypt numerik atau huruf kecil di bawah delapan karakter sepele untuk retak, mengambil antara beberapa jam hingga beberapa detik untuk berkompromi.
Bagaimana cara peretas berkeliling algoritma hashing?
Terlepas dari algoritma hashing, kerentanan umum adalah kata sandi pendek dan sederhana. Kata sandi panjang dan kompleks yang menggabungkan angka, huruf besar dan kecil, dan simbol adalah formula yang ideal untuk kekuatan dan ketahanan kata sandi. Namun, penggunaan kembali kata sandi tetap menjadi masalah yang signifikan; Hanya satu kata sandi yang dibagikan, tidak peduli seberapa kuat, disimpan di Plaintext di situs web atau layanan yang diamankan dengan buruk, dapat memberikan akses penyerang cyber ke akun sensitif.
Akibatnya, penyerang cyber lebih cenderung mendapatkan kredensial yang dilanggar dan daftar kata sandi yang diekspos dari web gelap daripada mencoba memecahkan kata sandi yang panjang dan kompleks yang diamankan dengan algoritma hashing modern. Memecahkan kata sandi panjang dengan bcrypt hampir tidak mungkin, bahkan dengan perangkat keras dan perangkat lunak yang dibangun khusus. Tetapi menggunakan kata sandi yang diketahui adalah instan dan efektif.
Untuk melindungi organisasi Anda dari kata sandi yang dilanggar, kebijakan kata sandi SpecOps terus memindai direktori aktif Anda terhadap database yang berkembang lebih dari 4 miliar kata sandi yang dikompromikan unik. Hubungi uji coba gratis.