В Сети появилась программа, позволяющая расшифровать 55-символьные пароли

В Сети появилась программа, позволяющая расшифровать 55-символьные пароли

В интернете в свободном доступе была размещена программа ocl-Hashcat-plus, которая может расшифровывать 55-символьные пароли. До сих пор ПО ocl-Hashcat-plus, способное использовать мощности графических карт для перебора и взлома паролей, была ограничена длиной пароля в 15 символов.

Программа использует несколько методов перебора символов в зависимости от хеш-функции, причем для некоторых алгоритмов длина пароля возрастает до 64 символов, тогда как для других — сокращается до 24 символов. По словам разработчиков, сейчас администраторы большого количества порталов призывают пользователей использовать более длинные и сложные пароли. Такое развитие событий заставляет авторов программ-взломщиков паролей совершенствовать свои разработки.

Дженс Штойбе (Jens Steube), главный разработчик Hashcat, заявил, что возможность расшифровать пароли длиннее 15 символов, была одной из самых необходимых функций, которая усложнила работу программы-взломщика.

«Требуется не только более мощный компьютер, а дополнительная оптимизация кода программы. В любом случае, все это ведет к падению быстродействия кода. Хотя реальное падение зависит от множества факторов, таких как режим взлома, мощность процессора и других», — отметил Штойбе.

После изменения 618473 строк исходного кода в новой версии ocl-Hashcat-plus появилась возможность провести восемь миллиардов сравнений символов в секунду в зависимости от используемой хеш-функции. Новая версия программы оптимизирует процесс взлома паролей. Добавив тулкит PACK или Password Analysis and Cracking Kit, позволяет работать с паролями пользователей корпоративных сетей, к примеру Microsoft Active Directory.

Эксперты: Зашифрованные файлы, теоретически, можно легко взломать

Эксперты: Зашифрованные файлы, теоретически, можно легко взломать

Исследователи из Массачусетского технологичного института, США, провели новое исследование защиты зашифрованных данных и установили, что современные алгоритмы математических методов защиты не обеспечивают ультимативную сохранность данных, как считалось ранее.

В свете последних событий эксперты установили, что программы тотальной слежки, такие как PRISM и XKeyScore, получают доступ к электронной почте, телефонным переговорам и другим ресурсам, используя легальные запросы, которые, теоретически, позволяют защитить важную информацию от грубого и сложного математического взлома.

Так, при проведении брут-форс-атаки злоумышленники методом подбора чисел могут составить цифровой PIN-код и получить доступ к любой, защищенной таким образом, информации.

Что касается защиты данных при помощи совремемнных методов шифрования, то они, безусловно, более надежные. Применение аналогичного подхода ко взлому зашифрованного файла в итоге не приведет злоумышленников к успеху.

Тем не менее, эксперты, среди которых профессор Мюриэль Медар (Muriel Médard), считают, что предположение пользователей о безопасности современных способов коммуникации основано на ложных предположениях о природе информации.

Согласно их новому исследованию, зашифрованные файлы, теоретически, легко можно взломать.

По мнению исследователей, создание шифра и его взлом основываются на идее энтропии и статистической вероятности последовательного появления символов в каждой конкретно взятой строке. Современные модели предполагают, что информация соответствует энтропии Шеннона, которая вычисляет среднюю вероятность на большие объемы данных.

В криптографии, как оказалось, только небольшой участок кода должен отклоняться от энтропии Шеннона, чтобы вся система оказалась небезопасной.

При этом, такое обнаружение может иметь серьезные последствия для безопасности данных. В частности, даже небольшие отклонения в исходном файле могут обеспечить злоумышленникам успешность попытки взлома.

Исследователи установили, что брут-форс-атака, которая раньше считалась неэффективной при попытке взлома зашифрованных файлов, является не только возможной, но и довольно простой.

Android сохраняет пароли WiFi открытым текстом в облаке?

Android сохраняет пароли WiFi открытым текстом в облаке?

Очень неприятный баг/фича обнаружен в операционной системе Android. Оказывается, процедура резервного копирования данных на облачном хостинге (опция «Back up my data») включает сохранение и паролей от WiFi-сетей, причем они якобы сохраняются открытым текстом, без шифрования (факт еще окончательно не подтвержден).

В каком-то смысле, это логично с точки зрения удобства пользователя. Подключив к своему Google-аккаунту новое устройство, сделав апгрейд смартфона или планшета ему не придется заново вводить пароли от всех WiFi-сетей, которые были у него на прошлом устройстве. Все установится автоматически.

Но с точки зрения информационной безопасности передавать пароли пользователя в открытом виде по публичным сетям на удаленный хостинг — это какое-то совершенно извращенное понимание безопасности. Зачем вообще тогда нужно такое резервное копирование? И зачем вообще тогда нужны пароли?

Учитывая, что Google владеет крупнейшей в мире базой частных хотспотов, включая их точные координаты и уровни сигнала, сохранение на серверах Google еще и паролей от этих хотспотов выглядит слегка неуместно.

Забавно после этого читать на сайте Google советы пользователям по безопасности WiFi: «Очень важно, чтобы вы подобрали уникальный пароль, с длинным сочетанием цифр, букв и символов, чтобы его сложно было угадать. Если у вас личная сеть, то можно записать пароль и держать в надежном месте, чтобы не потерять. Он может понадобиться, если приехали гости и хотят подключиться к интернету через домашнюю сеть. Точно так же, как вы бы не дали чужому человеку ключ от своего дома, пароль от WiFi следует сообщать только тем, кому вы доверяете».

Использование операционной системы Android подразумевает определенный уровень доверия Google, так что компания себе не противоречит.

Пароли обезопасят от кражи с помощью курсора

Пароли обезопасят от кражи с помощью курсора

Японские исследователи предложили защищать от кражи пароли и PIN-коды, которые набираются на экранных виртуальных клавиатурах, с помощью множества курсоров, сообщает DigInfo TV.

Экранные клавиатуры для набора паролей используются на многих интернет-сайтах. Считается, что набирать код на такой клавиатуре безопасней, чем на настоящей, потому что его не смогут похитить вредоносные программы — «клавиатурные шпионы».

Риск кражи, тем не менее, существует. Пароль могут отследить по движениям курсора мышки либо человек, стоящий за спиной пользователя, либо программа, обученная делать скриншоты. Чтобы минимизировать угрозу, исследователи из Японского агентства науки и технологий предложили увеличивать число курсоров на экране во время набора пароля. Курсоров может быть от пяти до двадцати (чем больше, тем надежней защита).

Настоящим является только один курсор из множества, остальные – лживые и перемещаются по экрану в случайном направлении. Разработчики утверждают, что пользователь сможет с легкостью вычленить истинный курсор, в то время как посторонние не справятся с этой задачей.

Экранные клавиатуры иногда сами по себе снабжены дополнительный защитой. Например, цифровые кнопки на них могут располагаться в случайном порядке (после цифры 3 может идти 9), чтобы сбить с толку сторонних наблюдателей и вредоносные программы.