„AgileBits“ „1Password“ yra neįtikėtinas įrankis jūsų duomenims apsaugoti. Daugiau nei tik slaptažodžių tvarkyklė „1Password“ leidžia užšifruoti ir tvarkyti įvairius duomenis (svetainių slaptažodžius, ne žiniatinklio skaitmeninės sąskaitos, kredito/debeto kortelių numeriai ir finansinės sąskaitos duomenys, programinės įrangos licencijos ir failai, kuriuose yra konfidencialumo informacija.
Visos šios funkcijos yra geros ir geros, tačiau didžiausias bruožas yra „1Password“ galimybė saugoti visus šiuos duomenis, brutalios jėgos atakos - tokios atakos, kai programinė įranga tiesiog bando derinti po galimų derinių slaptažodžius. Slaptažodžių nulaužimo programinė įranga, kuri remiasi tokiomis atakomis, gali lengvai išbandyti tūkstančius galimų slaptažodžių kiekvieną sekundę.
Norėdami sužinoti, ar „1Password“ gali atlaikyti tokias atakas, ar ne, „AgileBits“ išbandė vieną „1Password“ prieš Johną Skaldytoją, vieną iš labiausiai žinomų slaptažodžių krekingo įrankių.
„AgileBits“ neseniai išsamiai aprašė daugelį
tyrimas ir pagrindinė informacija savo tinklaraštyje, įskaitant tai, kad Jonas Skerdikas ir kiti slaptažodžių krekingo įrankiai gali būti patobulinti, kad būtų užpulti tam tikri šifravimo įrankiai, tokie kaip „1Password“.Pagrindinė koncepcija yra ta, kad šie įrankiai puola pagrindinį slaptažodį, kurį vartotojai nustato konfigūruodami „1Password“. Šifravimo mechanizmų pažeidimas ir duomenų iššifravimas nėra tinkama ataka prieš aukšto lygio šifravimo technologijas, tokias kaip „1Password“ ar „Apple“ „FileVault“. Pagrindinis pažeidžiamumas tokiose saugiose sistemose kaip „1Password“ yra įgaliojimai, leidžiantys duomenų savininkui (arba įgaliotiems asmenims) atrakinti sistemą. „1Password“ atveju tai reiškia pagrindinį slaptažodį (kitose sistemose tai gali būti vartotojo abonementas ir slaptažodis, dviejų veiksnių autentifikavimas, apimantis fizinį ar duomenų žetoną, kurį reikia pateikti su slaptažodžiu, ar net biometrinius duomenis, pvz pirštų atspaudai).
Tai yra tas įėjimo taškas, prieš kurį „AgileBits“ išbandė ir ištyrė Joną Skerdiką. Galų gale, turėdamas pakankamai laiko, Jonas Skerdikas galiausiai sulaužys bet kokį pagrindinį slaptažodį. Geriausia, ką gali padaryti „1Password“, - į sistemą įtraukti sudėtingus skaičiavimus - skaičiavimus, kuriuos reikia atlikti kiekvieną kartą bandant įvesti slaptažodį. Tai gali atrodyti nedaug, bet tai veikia, jei pagrindinis slaptažodis yra pakankamai ilgas ir pakankamai atsitiktinis.
Abi jos yra svarbios sprendimo dalys. Kuo ilgesnis slaptažodis, tuo daugiau spėliojimo įrankių turi spėti, kad gautų tinkamą slaptažodį. Jei atsižvelgsite į tūkstančius ar dešimtis tūkstančių sudėtingų skaičiavimų, kuriuos reikia atlikti kiekvienam spėjimui, tampa tikėtina sustabdyti ataką - ar daugiau tiksliai sulėtinkite efektyvaus sustojimo tašką, priversdami įtrūkimo įrankį užtrukti dienas, savaites, metus, šimtmečius ar net tūkstantmečius prieš kiekvieną galimą derinį yra teisiamas.
Taikydamas šią koncepciją kasdieniam naudojimui, „AgileBits“ siūlo naudoti kelių žodžių slaptažodžius ir žodžiai yra tikrai atsitiktiniai (mesti kauliukus, kad pasirinktumėte žodžius, yra tikrai atsitiktinis, siūlantis įmonę gamina). Kaip matote žemiau esančioje tabletėje, septynių žodžių slaptažodžiai užtruktų trilijonus metų. Net keturių žodžių slaptažodžio pakaktų, nes įsilaužti prireiks dešimtmečių ar šimtmečių.
Šaltinis: „AgileBits“
Vaizdas: „AgileBits“
