Aby złamać hasła w Windows potrzeba już tylko sekund

Naukowcy ze Szwajcarii zaprezentowali we wtorek metodę bardzo szybkiego łamania haseł alfanumerycznych w systemie Windows. Metoda ta redukuje czas rozszyfrowania hasła z wartości średniej wynoszącej dotychczas 1 minutę 41 sekund do około 13,6 sekund.

Nowa metoda łamania haseł wymaga wykorzystania bardzo dużych tablic lookup, które służą do dopasowania rozszyfrowywanych haseł do oryginalnego tekstu, wprowadzanego przez użytkownika. „Wyniki badań potwierdziły to, czego obawiali się liczni eksperci zajmujący się bezpieczeństwem: „Metody szyfrowania haseł Microsoftu posiadają wadę, która sprawia, że analogiczne do naszej metody, techniki rozszyfrowywania okazują się niezwykle skuteczne” - powiedział Philippe Oechslin, analityk branży i wykładowca w Laboratorium Bezpieczeństwa i Kryptografii Szwajcarskiego Federalnego Instytutu Technologii w Lozannie. "Hasła w Windows są bardzo nie pewne. Podstawową ich wadą jest to, że nie zawierają one żadnych informacji losowych”.

Do rozszyfrowywania haseł, naukowiec wykorzystał 1,4GB tablicę lookup, oraz komputer z procesorem AMD 2500+ i 1,5GB pamięci RAM. Jak przyznał Oechslin, nie jest to nowa słabość systemu Windows. Tak na prawdę, dopiero teraz po raz pierwszy zajęto się tym problemem tak bardzo dokładnie. Sposób kodowania haseł Microsoftu jest tylko dogodnym przykładem do zademonstrowania rezultatów metody łamania haseł, w oparciu o duże tablice lookup”.

Duża podatność haseł Windows na złamanie taką metoda jest związana z tym, że technologia szyfrowania stosowana przez Microsoft koduje to samo hasło za każdym w identyczny sposób. Tak więc osobie chcącej złamać hasło wystarczy stworzyć na osobnym komputerze dużą tablicę lookup i wygenerować w niej wszystkie możliwe kombinacje haseł. Potem pozostaje już tylko kwestia dobrania właściwego hasła do tego, co wprowadził użytkownik. Inne systemy operacyjne, m.in. Unix, Linux i Mac OS, dodają w procesie szyfrowania 12-bitową wartość, co sprawia że próba przechwycenia hasła wymaga 4096 razy więcej czasu, lub zasobów pamięci.

Wydaje się, że użytkownik okienek może zwiększyć trudność przechwycenia swoich haseł stosując w nich inne znaki niż alfanumeryczne, co utrudnia proces łamania hasła i powoduje wydłużenie czasu potrzebnego do jego przejęcia. Ale Oechslin rozwiał także i ten mit. Za pomocą zmodyfikowanej wersji systemu z 20GB tablicę lookup, rozszyfrowywał on hasła złożone z cyfr, liter i 16 innych znaków w czasie, wynoszącym średnio 30 sekund.