Trang chủ Tin tức Tin Khoa học - Công nghệ
 

Mật khẩu Windows 8 ký tự có thể bị phá trong 2,5 giờ

Mới đây, một hacker với bút danh Tinker chia sẻ trên Twitter rằng, với 8 GPU Nvidia GTX 2080Ti được trưng dụng trong một cuộc tấn công ngoại tuyến thì "Tốc độ bẻ khóa mật khẩu hiện tại cho thấy một thực tế rằng, một mật khẩu tối thiểu tám ký tự, dù phức tạp tới đâu đi nữa, cũng có thể bị tìm ra trong chưa đầy 2,5 giờ".

HashCat, một công cụ dò mật khẩu mã nguồn mở, có thể phá được giá trị băm NTLM của mật khẩu Windows dài 8 ký tự trong khi bạn chưa xem xong bộ phim Avengers: Endgame.

Năm 2011, nhà nghiên cứu Steven Myer chứng minh rằng một khẩu khẩu gồm 8 ký tự (53-bit) có thể được dò ra trong 44 ngày, hay 14 giây nếu dùng GPU và bảng cầu vồng chứa các giá trị băm tính sẵn.

Tới năm 2015, một nhà phát triển Jeff Atwood báo cáo về đề tài này thì độ dài trung bình của mật khẩu được đa số mọi người sử dụng rơi vào khoảng 8 ký tự và từ đó đến nay chưa  có dấu hiệu nào cho thấy sự việc đã thay đổi đáng kể. Nhưng đến thời điểm này, khi khoảng 620 triệu thông tin đăng nhập web đang bị bán trên thị trường web đen, thì có lẽ chúng ta phải xem lại độ dài và cách thức quản lý của mật khẩu.

Trong một bài đăng trên Twitter mới đây, những người tham gia dự án phần mềm cho biết một phiên bản tinh chỉnh thủ công HashCat (6.0.0 beta) đã tận dụng 8 GPU Nvidia GTX 2080Ti trong một cuộc tấn công ngoại tuyến và vượt qua ngưỡng tốc độ phá mật khẩu NTLM 100GH/s (100 tỷ giá trị băm mỗi giây). Với tốc độ này, một mật khẩu gồm tám ký tự, dù phức tạp tới đâu đi nữa, cũng có thể bị tìm ra trong chưa đầy 2,5 giờ. Người có biệt danh Tinker đã viết trên rằng "Mật khẩu tám ký tự đã chết."

Mật khẩu tám ký tự đã chết, ít nhất là trong ngữ cảnh tấn công vào các tổ chức sử dụng Windows và Active Directory. NTLM là một giao thức xác thực cũ của Microsoft, tuy đã bị thay thế bằng Kerberos, nhưng vẫn được dùng để lưu mật khẩu Windows lưu trên máy tính hoặc trong tệp NTDS.dit trên Active Directory Domain Controllers.

Các thuật toán băm mạnh hơn sẽ cần nhiều thời gian hơn để dò mật khẩu, đôi khi mức độ tăng thêm khá lớn. Để tiện so sánh, khi IBM đạt tốc độ dò giá trị băm 334 GH/s với NTLM và Hashcat năm 2017, họ chỉ đạt được tốc độ 118.6 kH/s với bcrypt và Hashcat. Nhưng với những mât khẩu tương đối ngắn, những kẻ tìm cách dò mật khẩu có thể chi tiền cho dịch vụ điện toán đám mây để sử dụng năng lực tính toán cao hơn.

Tinker ước tính rằng chi phí mua 8 GPU nêu trên rơi vào khoảng 10 ngàn đô la, trong khi đó những người khác cho rằng năng lực tính toán để dò mật khẩu NTLM 8 ký tự có thể thuê từ dịch vụ đám mây của Amazon với giá chỉ 25 đô la.

Hướng dẫn mới nhất của NIST nói rằng mật khẩu phải gồm ít nhất 8 ký tự nhưng một số nhà cung cấp dịch vụ trực tuyến yêu cầu ít hơn nhiều. Nhà nghiên cứu bảo mật Troy Hunt đã tìm hiểu về độ dài mật khẩu tối thiểu tại các website vào năm ngoái và thấy rằng Facebook, LinkedIn và Twitter chỉ yêu cầu mật khẩu gồm 6 ký tự.

Vậy nếu mật khẩu 8 ký tự là không đủ an toàn thì chúng ta nên dùng mật khẩu gồm bao nhiêu ký tự để có thể yên tâm cho tới khi một đột phá công nghệ mới xuất hiện? Tinker đề xuất một chuỗi gồm 5 từ ngẫu nhiên, giống như trong bức tranh hài trực tuyến XKCD từng gợi ý mật khẩu 4 từ: "correcthorsebatterystaple".

In      Trở về Theo Tạp chí An toàn thông tin
 
Các Tin Khoa học - Công nghệ đã đưa
   Nhiều ứng dụng antivirus trên Android cảnh báo sai, trong đó có BKAV (09:50 - 27/03/2019)
   Windows 10 bổ sung tính năng tự động gỡ các bản cập nhật lỗi (09:49 - 27/03/2019)
   Phương pháp bảo vệ mật khẩu (10:16 - 28/02/2019)
   Google phát hành tiện ích cảnh báo thông tin đăng nhập người dùng (10:16 - 28/02/2019)
   Làm thế nào để đảm bảo an toàn khi truy cập Wifi? (14:06 - 28/01/2019)
   Một số tùy chỉnh bảo mật hữu ích trên Windows 10 (14:04 - 28/01/2019)
   Cách đăng xuất tài khoản Facebook trên tất cả các thiết bị (14:04 - 28/01/2019)
   Hacker lợi dụng Touch ID để lừa đảo người dùng (16:12 - 27/12/2018)
   Khai tử Google+ sớm do phát hiện thêm lỗ hổng bảo mật nghiêm trọng (16:11 - 27/12/2018)
   Phát hiện hơn 3,2 triệu mã độc Android trong Quý III/2018 (08:20 - 18/12/2018)
   4,7 triệu địa chỉ IP của Việt Nam nằm trong các mạng mã độc lớn (11:09 - 26/11/2018)
   Các ứng dụng quản lý mật khẩu trên Android có thể bị đánh lừa (11:08 - 26/11/2018)
   Khởi động xây dựng "Cẩm nang công nghệ sản xuất điện Việt Nam" (15:08 - 23/11/2018)
   IMIS: Bước đột phá của EVN trong quản lý đầu tư xây dựng (15:05 - 23/11/2018)
   Kết hợp các phương pháp xác thực trong ngân hàng để tăng tính bảo mật (16:25 - 16/11/2018)

Đầu trang