Z okazji tegorocznego Światowego Dnia Hasła badacze z Kaspersky opublikowali raport, który pokazuje skalę problemu z bezpieczeństwem współczesnych haseł. Firma przeanalizowała ponad 231 mln unikalnych haseł pochodzących z wycieków publikowanych w darknecie. Wyniki są niepokojące: przy użyciu pojedynczej karty graficznej Nvidia RTX 5090 60 proc. skrótów haseł zapisanych przy użyciu algorytmu MD5 można złamać w mniej niż godzinę. Aż 48 proc. da się odzyskać w czasie krótszym niż minuta.
MD5 od dawna jest przestarzały
Samo wykorzystanie MD5 nie jest dziś niczym nowym: algorytm od lat uznawany jest za niewystarczający do bezpiecznego przechowywania haseł. Problem polega jednak na tym, że wiele starszych systemów i aplikacji nadal korzysta z szybkich funkcji skrótu, które dobrze sprawdzają się np. przy weryfikacji integralności plików, ale kompletnie nie nadają się do ochrony danych uwierzytelniających.
Kaspersky podkreśla, że współczesne GPU radykalnie przyspieszają proces łamania takich skrótów. Według firmy RTX 5090 osiąga około 220 gigahaszy na sekundę dla MD5, czyli o około 34 proc. więcej niż RTX 4090 wykorzystywany w podobnym badaniu z 2024 roku.
Co istotne, cyberprzestępcy nie muszą nawet posiadać własnego sprzętu. Moc obliczeniową GPU można dziś wynająć w chmurze za kilka dolarów na godzinę. To sprawia, że masowe łamanie wykradzionych baz danych staje się tanie i łatwo dostępne.
Problemem są też same hasła
Badanie pokazuje, że wzrost wydajności sprzętu to tylko część problemu. Drugim są bardzo przewidywalne wzorce stosowane przez użytkowników. Analiza milionów wyciekłych haseł wykazała, że wiele z nich bazuje na prostych schematach: słowach słownikowych, zamianie liter na symbole czy dodawaniu cyfr i znaków specjalnych na końcu. To pozwala narzędziom do tzw. „smart crackingu” znacząco skrócić czas potrzebny do odgadnięcia właściwej kombinacji. Zamiast sprawdzać wszystkie możliwe warianty metodą brute force, algorytmy zaczynają od najczęściej spotykanych struktur.
W porównaniu z badaniem sprzed dwóch lat sytuacja dodatkowo się pogorszyła. W 2024 roku mniej niż godzinę wystarczało do złamania 59 proc. analizowanych haseł. Dziś odsetek wzrósł do 60 proc., a liczba haseł możliwych do odzyskania w mniej niż minutę wzrosła z 45 do 48 proc.
Branża coraz mocniej stawia na passkeys i MFA
Eksperci cytowani przez serwis The Register wskazują, że same hasła nie powinny już być jedyną linią obrony. Chris Gunner z firmy Thrive zwraca uwagę, że nawet silne hasło nie wystarczy, jeśli organizacja nie wdroży dodatkowych mechanizmów ochrony tożsamości, takich jak MFA czy model zero trust.
Z kolei prof. Steven Furnell z University of Nottingham podkreśla, że odpowiedzialność za bezpieczeństwo nie może spoczywać wyłącznie na użytkownikach. Wiele serwisów nadal nie oferuje obsługi passkeys ani nie wymusza odpowiednio silnych haseł.
To właśnie passkeys coraz częściej wskazywane są jako docelowy następca tradycyjnych haseł. Mechanizm opiera się na kryptografii klucza publicznego i eliminuje konieczność zapamiętywania loginów oraz haseł przez użytkownika. Najwięksi dostawcy technologii, czyli m.in. Google, Apple i Microsoft, od kilku lat rozwijają wsparcie dla tego standardu.
Raport Kaspersky pokazuje jednak, że mimo rosnącej popularności nowych metod logowania tradycyjne hasła pozostają fundamentem uwierzytelniania w ogromnej części internetu. A to oznacza, że słabe zabezpieczenia i stare algorytmy nadal będą jednym z głównych celów cyberprzestępców.
0 komentarzy