Видеокарты в руках хакеров или почему больше нельзя надеяться на восьмизначные пароли

Несмотря на то, что утечек информации с каждым годом становится все больше, пользователи по-прежнему используют простые пароли. Исследовав 170 млн учетных данных, утекших в сеть, эксперты в области информационной безопасности обнаружили 7 млн одинаковых паролей «123456». Следующими по популярности были «123456789», «password», «qwerty», «12345678». Подобные восьмизначные пароли позволяют хакерам очень быстро взламывать мощные видеокарты.

Автор: Антон Кузьмин, руководитель Центра предотвращения киберугроз CyberART ГК Innostage

Одним из способов, который наиболее часто используют злоумышленники для взлома паролей, являются брутфорс, то есть перебор вариантов. Эти операции не требуют больших усилий, а необходимые автоматизированные утилиты можно легко найти в открытом доступе, поэтому количество атак этого типа только увеличивается. В брутфорс-атаках злоумышленники все активнее пользуются растущей производительностью видеокарт: с их помощью можно осуществить атаку проще и быстрее.

Первые сообщения об атаках с помощью графических процессоров появились еще в 2007 г., когда компания Elcomsoft, российский разработчик программного обеспечения, которое позволяет восстанавливать пароли, успешно взломала пароль программы Windows NT LAN Manager при помощи карт Nvidia. До этого специалисты компании использовали для взломов паролей карты других производителей. Но сегодня взломать за небольшое время можно уже даже восьмизначный пароль.

Яркий пример — использование недавно вышедшего флагмана NVIDIA GeForce RTX 4090. При помощи восьми таких видеокарт можно подобрать восьмизначный пароль всего за 48 минут, а не за 80 дней, как еще совсем недавно. Пятизначный пароль можно подобрать еще быстрее — за 24 секунды. Причем скорость подбора пароля, достигаемая при работе с GeForce RTX 4090, в два раза выше, чем при использовании его предшественника — видеокарты GeForce RTX 3090.

Выход из ситуации

Если изначально у пользователя установлен сложный многозначный пароль, это увеличит время взлома при помощи видеокарты — на то, чтобы добиться цели, у злоумышленника может уйти несколько месяцев, а то и больше. Как результат, его действия могут успеть выявить и остановить.

Составить надежный пароль помогут четыре простых правила.

1. Первое — пароль должен составлять минимум девять символов. Лучше, чтобы он был многозначнее: каждый дополнительный знак в десятки раз увеличивает количество комбинаций перебора.
2. Второе — пароль должен содержать буквы, цифры и специальные символы.
3. Третье — пароль должен содержать буквы как в нижнем, так и верхнем регистре.
4. Четвертое — пароли должны быть отличны друг от друга, если используются для входа в разные критичные информационные системы.

Советы по запоминанию паролей

• завести несколько категорий паролей, примерно равных по длине, при взгляде на которые можно сразу понять, из какой они категории. В пределах категории придерживаться одной константной части и одного закона шифрования; можно, конечно, дробить и сильнее, но это уже чересчур сложно. Если паролей мало и сильно напрягаться не хочется — достаточно одной категории, но риски в таком случае, все же, будут.
• для каждой категории придумать постоянную часть пароля. Пример: профессиональная деятельность — постоянная часть m2f~(kJB; социальные сети — постоянная часть 5O((eT!1;
• для каждой категории придумать закон шифрования. Пример: профессиональная деятельность — закон шифрования — в начало и конец первый и последний символы доменного имени и число символов в каждой части доменного имени; социальные сети — закон шифрования — в начало — число символов в первой части доменного имени, в середину — во второй, в конец — в третьей, и в конец первые 2 символа доменного имени, стоящие прямо перед точкой, в обратном порядке;
• понять, что такие пароли удобно вводить, сначала внося постоянную часть, затем шифруемые добавления к ней;
• начать пользоваться схемой. Пересилить себя и начать генерировать пароли. Первое время, возможно, придется их восстанавливать, но менять нужно опять же на тот, который составляется по схеме. Примеры пароля с обозначенными выше постоянными частями и правилами шифрования: habrahabr.ru (профессиональная деятельность) — h92m2f~(kJBu92; vkontakte.ru (социальные сети) — (первой части доменного имени нет, считаем ее www) 35O((9eT!12et; facebook.com (социальные сети) — 35O((9eT!13ko;
• попробовать мнемонический способ — создать пароль с использованием первых букв высказывания, которое легко запомнить, стихотворения или текста песни. Примером могут служить первые буквы каждого слова в такой фразе, как: «Наша Таня горько плачет, уронила в речку мячик», что в виде пароля будет выглядеть как «НТгпуврм».
• Также можно заменить латинские буквы на похожие цифры и символы (язык Leet). Например, преобразование паролей «beerbash» и «catwoman» по этой схеме приведет к созданию таких паролей, как «b33rb4sh» и «c@w0m4n» соответственно.

Другие ценные советы

Важно периодически менять пароль. Рядовому пользователю его целесообразно менять раз в три месяца. В случае с информационными системами бизнеса, особенно относящимися к объектам критической инфраструктуры, требуется более частая смена пароля — его необходимо обновлять раз в месяц.

Стимулировать сотрудников ответственнее относится к составлению паролей можно, ограничив возможность регистрировать типовой пароль. Также имеет смысл ввести автоматическую проверку надежности пароля в форме регистрации учетной записи.

Еще большую безопасность обеспечит многофакторная аутентификация или использование для авторизации аппаратного обеспечения: смарт-карты, USB-накопителя или ключа-токена. В особенности для защиты критической инфраструктуры.

При многофакторной аутентификации злоумышленникам очень сложно получить доступ к данным пользователя, так как для этого им нужно знать, например, его электронную почту или номер телефона. Поэтому в большинстве случаев проникнуть в учетную запись пользователя у них не получается. В качестве первого фактора аутентификации можно использовать пароль, второго и третьего — пин-код и биометрию.

Авторизация при помощи аппаратного обеспечения пользуется меньшей популярностью, чем многофакторная аутентификация, так как является более дорогой. Также сказывается зависимость аппаратных средств от конкретных типов компьютеров. Однако такой способ защиты не менее эффективен. Риск потери аппаратных средств существует, но практически никакой опасности для владельца он не несет: нашедшему эти средства будет необходимо ввести специальный пароль прежде, чем воспользоваться ими.