Οι hackers μπορούν να “σπάσουν” το 45% των κωδικών σε μόλις ένα λεπτό
Ζήτημα κάποιων δευτερολέπτων είναι, πλέον, για το οργανωμένο ψηφιακό έγκλημα το “σπάσιμο” των κωδικών των χρηστών. Σύμφωνα με τα αποτελέσματα έρευνας, οι απατεώνες θα μπορούσαν να μαντέψουν το 45% όλων των κωδικών πρόσβασης, που αναλύθηκαν σε ένα λεπτό.
Τα ιδιαίτερα ανησυχητικά ευρήματα προκύπτουν από μελέτη μεγάλης κλίμακας, την οποία πραγματοποίησαν ειδικοί της Kaspersky σχετικά με την ανθεκτικότητα των κωδικών πρόσβασης, που παραβιάστηκαν από infostealers και είναι διαθέσιμοι στο darknet, σε επιθέσεις brute force and smart guessing. Η τηλεμετρία της Kaspersky δείχνει περισσότερες από 32 εκατ. απόπειρες επίθεσης σε χρήστες με password stealers το 2023. Αυτοί οι αριθμοί δείχνουν τη σημασία της ψηφιακής υγιεινής και των έγκαιρων πολιτικών για κωδικούς πρόσβασης.
Μόνο το 23% των κωδικών αποδεικνύεται αρκετά ανθεκτικό στο “σπάσιμο” από τους κυβερνοεγκληματίες
Τον Ιούνιο του 2024, η Kaspersky ανέλυσε 193 εκατ. κωδικούς πρόσβασης, οι οποίοι βρέθηκαν σε δημόσιο domain σε διάφορους πόρους στο darknet. Στο πλαίσιο της μελέτης, οι ειδικοί της Kaspersky αποκάλυψαν ποιοι συνδυασμοί χαρακτήρων χρησιμοποιούνται πιο συχνά κατά τη δημιουργία κωδικών πρόσβασης.
Τα αποτελέσματα δείχνουν ότι η πλειονότητα των αναθεωρημένων κωδικών πρόσβασης δεν ήταν αρκετά ισχυροί και θα μπορούσαν εύκολα να παραβιαστούν χρησιμοποιώντας έξυπνους αλγόριθμους εικασίας. Για την ακρίβεια, από τα στοιχεία προκύπτει ότι μόνο το 23% (44 εκατ.) των συνδυασμών αποδείχθηκε αρκετά ανθεκτικό - το σπάσιμο των οποίων θα χρειαζόταν περισσότερο από έναν χρόνο.
Με ταχύτητα αστραπής
Από την έρευνα της Kaspersky προκύπτει ότι το 45% των κωδικών (87 εκατ.) μπορεί να παραβιαστεί σε λιγότερο από 1 λεπτό, το 14% (27 εκατ.) σε χρόνο από 1 λεπτό έως 1 ώρα, το 8% (15 εκατ.) από 1 ώρα έως 1 ημέρα, το 6% (12 εκατ.) από 1 ημέρα έως 1 μήνα και το 4% (8 εκατ.) από 1 μήνα έως 1 έτος.
Εκτός αυτού, η πλειονότητα των εξεταζόμενων κωδικών πρόσβασης (57%) περιέχουν μια λέξη από το λεξικό, γεγονός που μειώνει σημαντικά την ισχύ των κωδικών πρόσβασης. Μεταξύ των πιο δημοφιλών ακολουθιών λεξιλογίου, διακρίνονται διάφορες ομάδες:
- Ονόματα: "ahmed", "nguyen", "kumar", "kevin", "daniel".
- Δημοφιλείς λέξεις: "forever", "love", "google", "hacker", "gamer".
- Τυπικοί κωδικοί πρόσβασης: "password", "qwerty12345", "admin", "12345", "team".
Η ανάλυση έδειξε ότι μόνο το 19% όλων των κωδικών πρόσβασης περιέχουν στοιχεία ενός ισχυρού συνδυασμού, που είναι δύσκολο να σπάσει - μια μη λεξικογραφημένη λέξη, πεζά και κεφαλαία γράμματα, καθώς και αριθμούς και σύμβολα και δεν περιείχε καμία κανονική, λεξικογραφημένη λέξη.
Ταυτόχρονα, η μελέτη αποκάλυψε ότι μπορούσαν, επίσης, να μαντέψουν το 39% τέτοιων κωδικών πρόσβασης χρησιμοποιώντας έξυπνους αλγόριθμους σε λιγότερο από μία ώρα.
Χωρίς βαθιά γνώση και εξοπλισμό
Το πιο ανησυχητικό, ωστόσο, είναι ότι για τους επιτιθέμενους δεν απαιτείται βαθιά γνώση ή ακριβός εξοπλισμός για να σπάσουν τους κωδικούς πρόσβασης. Για παράδειγμα, ένας ισχυρός επεξεργαστής φορητού υπολογιστή μπορεί να βρει τον σωστό συνδυασμό για έναν κωδικό πρόσβασης 8 πεζών γραμμάτων ή ψηφίων χρησιμοποιώντας brute force σε μόλις 7 λεπτά.
Επιπλέον, οι σύγχρονες κάρτες γραφικών θα αντιμετωπίσουν την ίδια εργασία σε 17 δευτερόλεπτα και οι έξυπνοι αλγόριθμοι για την εικασία κωδικών πρόσβασης εξετάζουν αντικαταστάσεις χαρακτήρων ("e" με "3", "1" με "!" ή "a" με "@") και δημοφιλείς ακολουθίες ("qwerty", "12345", "asdfg").