60% паролів, захищених алгоритмом MD5, можна зламати менш ніж за годину за допомогою однієї відеокарти Nvidia RTX 5090. При цьому 48% паролів піддаються злому менш ніж за хвилину. Про це пише The Register, посилаючись на звіт Kaspersky Lab.
«Зловмиснику потрібна лише одна година, щоб зламати три паролі з кожних п’яти, знайдених у витоці», — стверджують дослідники.
Швидкість злому пояснюється не тільки вразливістю MD5. Проаналізувавши 231 мільйон унікальних паролів із витоків у даркнеті за 2023–2026 роки, експерти виявили, що переважна більшість із них вкрай слабкі.
Люди продовжують використовувати передбачувані паттерни, які зловмисники давно навчилися враховувати під час підбору. Понад половина паролів (53%) закінчуються однією або кількома цифрами, а кожен восьмий (12%) містить послідовності, що нагадують роки від 1950 до 2030. Найчастіше це рік народження, рік створення акаунту або якась інша особистісно значуща дата.
Якщо цьогорічні результати порівняти з аналогічним дослідженням 2024 року — порівняння не на користь користувачів: зараз зламати паролі ще простіше, ніж два роки тому. Хоча тоді частка вразливих паролів була нижчою, ніж зараз, але злом пришвидшився — передусім завдяки графічним процесорам, які з кожним роком стають потужнішими.
MD5 вважається криптографічно ненадійним вже майже два десятиліття. Сучасні стандарти вимагають використовувати повільніші алгоритми хешування — bcrypt, Argon2 або scrypt — разом із сіллю, що суттєво ускладнює масовий підбір. Але навіть найнадійніший алгоритм не врятує, якщо пароль — це «123456» або рік народження дитини.
У наші дні паролі майже ніколи не зберігаються у звичайному тексті. Наприклад, якщо ви створюєте обліковий запис із паролем «Password123!», сервер не зберігатиме його у звичному вигляді. Натомість пароль хешують, використовуючи певні алгоритми, перетворюючи його на рядок літер і цифр фіксованої довжини (хеш). Наприклад, хеш MD5 для «Password123!» виглядає ось так:
2c103f2c4ed1e59c0b4e2e01821770fa
Кожного разу, коли користувач вводить свій пароль, він перетворюється на хеш і порівнюється з тим, що зберігається на сервері; якщо хеші збігаються, пароль правильний. Якщо зловмисник отримує цей хеш, він повинен розшифрувати його, щоб відновити оригінальний пароль — це те, що відомо як «cracking» пароля. Зазвичай це робиться за допомогою власних або орендованих графічних процесорів.
Нагадаємо, кілька тижнів тому квантовий комп’ютер вперше успішно зламав 15-бітний пароль.
Підписуйтесь на нас у соцмережах: Telegram | Facebook | LinkedIn
Організації, які займаються архівуванням інтернет-даних, опинилися під подвійним тиском: ціни на накопичувачі злетіли через попит…
Компанія OpenAI офіційно випустила розширення Codex для браузера Google Chrome, що стало важливим кроком у…
Київський національний університет імені Тараса Шевченка розблокував Telegram у своїй внутрішній мережі. Ректор підписав відповідний…
Кожна п'ята українська компанія, яка використовує CRM, досі робить це за допомогою російського софту. А…
Щорічне опитування Standard C++ Foundation зафіксувало стрімке зростання використання штучного інтелекту серед C++-розробників — однак…
Компанія OpenAI представила нову функцію безпеки для ChatGPT під назвою «Довірена особа» (Trusted Contact). Цей…