Sådan bliver dit password knækket på rekordtid

Hackere har fået masser af maskinkraft og gode værktøjer til at knække et password. Sikkerheden har aldrig været dårligere, siger eksperter.

Foto: Claus Bech
Lyt til artiklen

Vil du lytte videre?

Få et Digital Plus-abonnement og lyt videre med det samme.

Skift abonnement

Med Digital Plus kan du lytte til artikler. Du får adgang med det samme.

Passwords er eneste barriere mellem hackere og en masse af dine personlige oplysninger - med mindre du bruger mere avancerede systemer, for eksempel to-faktor-login. Det skriver Version2.dk

Men man kan efterhånden ikke stole på, at et password kan beskytte dine data mod adgang, hvis du hører til den store gruppe af mennesker, som tænker at for eksempel syv karakterer i et password må være alt rigeligt. Det skriver Ars Technica i en grundig artikel om den skræmmende udvikling inden for password-hacking.

Hvis en hacker får fingrene i den kraftigt krypterede liste over passwords til en tjeneste, går der ikke mange timer, før størstedelen af dem er knækket. I første omgang med et såkaldt ordbogs-angreb, eller dictionary attack, hvor de mest anvendte passwords bliver afprøvet.

På grund af en stribe vellykkede hackerangreb de seneste år har de it-kriminelle adgang til lister over millioner af autentiske passwords. Udover passwords på listen, der hurtigt kan blive afprøvet, har den stadigt tykkere ’ordbog’ over passwords givet hackerne en god forståelse for, hvordan et password typisk bliver konstrueret.

Et stort bogstav i starten af passwordet og et tal efterfølgende er helt klassisk, men også mønstre som at gentage et ord baglæns, for eksempel Version22niosrev, er kodet ind i hackernes algoritme, når et intelligent brute-force-angreb på et krypteret password sættes i gang.

Den anden store hjælp for hackerne i dag, sammenlignet med bare få år siden, er den maskinkraft, der nu er til rådighed med et kraftigt grafikkort. Et Radeon HD7970-kort til 3.500 kroner kan afprøve 8,2 milliarder forskellige muligheder i sekundet.

Men antallet af nødvendige beregninger med ren brute-force, altså at afprøve alle tænkelige kombinationer fra en ende af, stiger eksponentielt, så vælger man et tilfældigt password på mindst ni karakterer, skulle man være på den sikre side, lyder rådet fra eksperterne. Selv med hele Amazons EC2-sky i ryggen ville det tage for lang tid at knække.

Problemet er desværre bare ikke kun hos brugerne, der vælger et alt for forudsigeligt password, eller et som ligger i hackernes lange lister over brugte passwords. Alt for mange firmaer, der driver en tjeneste på nettet, sløser med sikkerheden. For eksempel ved ikke at bruge ’salts’, som populært sagt er et ekstra, tilfældigt password, som bliver kastet med ind i krypteringsalgoritmen og gør det sværere at gennemskue.

Uden salting eller med en for usikker krypteringsalgoritme har hackerne nærmest frit spil, når de får adgang til de krypterede passwords, lyder vurderingen.