Reikalas tas, kad taip nėra ir slaptažodžio stiprumas priklauso ne tik nuo to kokius ženklus naudojame, bet ir nuo to kiek ženklų sudaro slaptažodį bei kokias papildomas apsaugos priemones naudojame. Tobulėjant kompiuterinei įrangai, pelės ir katės žaidimas tarp naudotojų ir programišių įgauna naujus greičius ir siekiant apsaugoti savo paskyras naudotojams reikia peržiūrėti slaptažodžių arsenalą, esamai padėčiai pritaikyti slaptažodžių keitimo periodiškumo įpročius bei, kur yra galimybė pasitelkti papildomas apsaugos priemones.
Organizacijos vis dažniau taiko autentifikavimą be slaptažodžio, tačiau slaptažodžiai vis dar yra labiausiai paplitęs paskyrų apsaugos būdas. Slaptažodžių problema yra ta, kad juos galima atspėti, o naudojant šiuolaikines GPU, bandymai atspėti silpnus slaptažodžius brutalios jėgos (angl. brute-force) būdu, gali pavykti neįtikėtinai greitai. Pavyzdžiui, 6 simbolių slaptažodžius galima atspėti akimirksniu, nepaisant naudojamų raidžių, skaičių ir specialiųjų simbolių.
Kiekvienais metais „Hive Systems“ atlieka tyrimus, siekdama nustatyti, kiek trunka slaptažodžių nulaužimas, ir parengia metinę lentelę, kuri parodo, kodėl slaptažodžių ilgis ir sudėtis iš tikrųjų turi įtakos saugumui. Kad sudarytų lentelę, „Hive Systems“ įvertina santykinį maišos (ang. hash) slaptažodžių stiprumą, palygindama su brutalios jėgos bandymais atspėti slaptažodžius, suskirstytus pagal sudėtingumą bei ilgį, ir pateikia informaciją apie tai kiek laiko reikia įsilaužėliui, turinčiam vartotojo biudžetą, kad nulaužtų slaptažodžius naudojant stalinį kompiuteris su aukščiausio lygio vartotojų klasės vaizdo plokšte.
Palyginimui „Hive System“ taip pat apskaičiuoja, kiek laiko prireiktų pažangiam, daug išteklių turinčiam įsilaužėliui, kad nulaužtų slaptažodį, pavyzdžiui, organizuoto nusikalstamumo gaujos nariui, turinčiam prieigą prie debesų kompiuterijos išteklių. Nuo praėjusių metų lentelės šiemet atsirado naujovių. Dabar slaptažodžių nulaužimo procese dalyvauja ir „ChatGPT“.
Pastaraisiais metais „Hive System“ savo analizę grindė įvairių specialiųjų simbolių naudojimu, o tai, žinoma, leido kurti slaptažodžių įvairovę, tačiau šių metų lentelė yra tikroviškesnė, nes į analizę įtraukti specialieji simboliai labiau atspindi tuos, kuriuos priima svetainės kurdamos slaptažodžius, t.y. ^*%$!&@ ir #. Visi kiti specialieji simboliai buvo atmesti.
Slaptažodžių nulaužimas vyksta paimant slaptažodžio maišą, kuri buvo sukurta naudojant maišos algoritmą slaptažodį kuriant iš paprasto teksto, tada klaviatūroje sukuriamas simbolių derinys, sumaišomas ir jiedu palyginami. Tyrėjai savo analizę grindė programa, pavadinta „Hashcat“, kuri palaiko daugybę skirtingų maišos algoritmų.
Jei slaptažodį sudaro 8 simboliai, naudojant NIST rekomendaciją pasirinkus atsitiktinai sugeneruotą 8 simbolių eilutę — slaptažodį su skaičiais, didžiosiomis ir mažosiomis raidėmis bei simboliais, naudojant aukščiausios klasės GPU, kuri buvo prieinama 2018 m. (RTX 2080), jį nulaužti prireiktų 4 valandų. Šiandien naudojant naujausią GPU (RTX 4090) tai užtrunka vos 59 minutes, bet pasitelkus kompiuterinių debesų išteklius, slaptažodžio nulaužimo laikas sutrumpėja iki 19 minučių, jei naudojate 8-ias A100 GPU iš „Amazon AWS“, ir 12 minučių, jei naudojate 12-a A100 GPU.
Nors tyrėjai negalėjo išbandyti turimų išteklių apmokyti „ChatGPT“, jie galėjo numanyti, kiek laiko truks slaptažodžio nulaužimas naudojant 10 000 A100 GPU, kurios buvo naudojamos „ChatGPT“ apmokymui, ir nustatė, kad slaptažodžiui nulaužti prireiks maždaug 1 sekundės. Laimei, net labiausiai išteklius turintis įsilaužėlis greičiausiai nepanaudos tiek GPU, kad atspėtų jūsų slaptažodį.
Žemiau pateiktoje lentelėje parodyta, kiek laiko prireiks įsilaužėliui, naudojant standartinę įrangą, kad atspėti slaptažodį. Šie duomenys vaizdžiai parodo, kodėl slaptažodžio ilgis ir sudėtingumas yra svarbūs. Žinoma, jei jūsų slaptažodis atskleidžiamas kam nors, tarkim sukčiams, nesvarbu, koks sudėtingas yra jūsų slaptažodis — jūsų paskyra gali būti pasiekiama. Tokiems ir panašiems atvejams, kai slaptažodį gali sužinoti treti asmenys, reikia ne tik nustatyti stiprų slaptažodį, bet ir įjungti kelių veiksnių autentifikavimą. Idealiu atveju reikėtų įgalinti ir aparatūros pagrindu veikiantį kelių veiksnių autentifikavimą ( angl. hardware-based multi-factor authentication).
Patikrinkite kiek laiko reikia programišiui, kad nulaužtų jūsų slaptažodį. Ar jis žalias?
Turėkite omenyje, kad lentelėje patekti slaptažodžio nulaužimo laikai yra orientaciniai. Realiai, slaptažodžio „atspėjimas“ gali įvykti ir greičiau.
Slaptažodžių stiprumą pagal spalvas lentelėje aš klasifikuočiau taip:
- violetinė - tragiškas (tuojau pat imkite įrenginį ir keiskite slaptažodį);
- raudona - prastas (kai tik grįšite namo — tuojau pat jį pakeiskite);
- oranžinė - vidutiniškas (nenaudokite svarbioms ir su finansais susijusioms paslaugoms. Slaptažodį keiskite kas pora mėnesių);
- geltona - geras slaptažodis;
- žalia - puikus slaptažodis.
Jei tik yra galimybė, net jei jūsų slaptažodis ir „žalias“ — naudokite papildomas dviejų žingsnių ar kelių veiksnių autentifikacijos priemones bei periodiškai jį keiskite, ir nenaudokite to paties slaptažodžio kelioms paslaugoms.