Experții Kaspersky au efectuat un studiu la scară largă privind rezistența a 193 de milioane de parole – compromise de atacatorii care urmăresc să fure informații și disponibile pe darknet – la atacurile de tip brute force sau smart guessing.
Conform rezultatelor cercetării, 45% dintre toate parolele analizate (87M) au putut fi ghicite de escroci într-un minut. Doar 23% (44 de milioane) din combinații s-au dovedit a fi suficient de rezistente – spargerea lor ar dura mai mult de un an. În plus, experții Kaspersky au dezvăluit ce combinații de caractere au fost cele mai frecvent utilizate la crearea parolelor.
Telemetria Kaspersky indică peste 32 de milioane de încercări de a ataca utilizatorii cu programe de furt de parole în 2023. Aceste cifre arată importanța igienei digitale și a politicilor de împrospătare a parolelor.
În iunie 2024, Kaspersky a analizat 193 de milioane de parole într-un nou studiu. Parolele au fost găsite în domeniul public pe diverse resurse darknet. Aceste rezultate demonstrează că majoritatea parolelor examinate nu au fost suficient de puternice și ar putea fi ușor compromise prin utilizarea algoritmilor de smart guessing. Rezultatele descoperite sunt următoarele:
• 45% (87M) dintre parole în mai puțin de 1 minut.
• 14% (27M) – de la 1 min la 1 oră.
• 8% (15M) – de la 1 oră la 1 zi.
• 6% (12M) – de la 1 zi la 1 lună.
• 4% (8M) – de la 1 lună la 1 an.
Experții au identificat doar 23% (44 de milioane) dintre parole ca fiind rezistente – compromiterea lor ar dura mai mult de 1 an.
În plus, majoritatea parolelor examinate (57%) conțin un cuvânt din dicționar, ceea ce le reduce semnificativ rezistența. Printre cele mai populare secvențe de vocabular, se pot distinge mai multe grupuri:
• Nume: „ahmed”, „nguyen”, „kumar”, „kevin”, „daniel”.
• Cuvinte populare: „forever”, „love”, „google”, „hacker”, „gamer”.
• Parole standard: „password”, „qwerty12345″, „admin”, „12345″, „team”.
Analiza a arătat că doar 19% din toate parole conțin semne ale unei combinații puternice – un cuvânt din dicționar, litere mici și mari, precum și numere și simboluri. În același timp, studiul a arătat că 39% dintre astfel de parole ar putea fi și ele ghicite, în mai puțin de o oră, folosind algoritmi inteligenți.
Un aspect interesant este că atacatorii nu au nevoie de cunoștințe aprofundate sau de echipamente scumpe pentru a sparge parolele. De exemplu, un procesor puternic de laptop va putea găsi combinația corectă pentru o parolă de 8 litere minuscule sau de 8 cifre folosind brute force, în doar 7 minute. În plus, plăcile video moderne vor face față aceleiași sarcini în 17 secunde. În plus, algoritmii inteligenți pentru ghicirea parolelor iau în considerare înlocuirea caracterelor (“e” cu “3”, “1” cu “!” sau “a” cu “@”) și secvențele populare (“qwerty”, “12345”, “asdfg”).
Pentru a vă consolida politica privind parolele, utilizatorii pot folosi următoarele sfaturi simple:
• Este aproape imposibil să memorați parole lungi și unice pentru toate serviciile pe care le folosiți, dar cu un manager de parole, aveți de memorat doar o singură parolă principală.
• Utilizați o parolă diferită pentru fiecare serviciu. În acest fel, chiar dacă unul dintre conturile dumneavoastră este furat, celelalte conturi nu vor ajunge în mâini greșite.
• Frazele de acces ar putea fi mai sigure atunci când sunt folosite cuvinte neașteptate. Chiar dacă folosiți cuvinte obișnuite, le puteți aranja într-o ordine neobișnuită și vă puteți asigura că nu au nicio legătură. Există și servicii online, care vă vor ajuta să verificați dacă o parolă este suficient de puternică.
• Este mai bine să nu folosiți parole care pot fi ghicite cu ușurință din informațiile dumneavoastră personale, cum ar fi zilele de naștere, numele membrilor familiei, animalele de companie sau propriul nume. Acestea sunt adesea primele presupuneri pe care le va încerca un atacator.
• Activați autentificarea cu doi factori (2FA). Deși nu are legătură directă cu puterea parolei, activarea 2FA adaugă un nivel suplimentar de securitate. Chiar dacă cineva vă descoperă parola, ar avea totuși nevoie de o a doua formă de verificare pentru a vă accesa contul. Managerii moderni de parole stochează cheile 2FA și le securizează cu cei mai noi algoritmi de criptare.
• Utilizarea unei soluții de securitate fiabile vă va îmbunătăți protecția. Monitorizează internetul și Dark Web și avertizează dacă parolele trebuie schimbate.
Cercetarea Kaspersky a fost efectuată pe baza a 193 de milioane de parole găsite în domeniul public, disponibile pe diferite resurse darknet. Studiul poate fi găsit accesând articolul publicat pe Kaspersky Daily. Informații suplimentare pot fi găsite în materialul de cercetare de pe Securelist.
În cadrul sondajului, experții Kaspersky au folosit următorii algoritmi de ghicire a parolelor:
• Bruteforce – bruteforce este o metodă de ghicire a unei parole care implică încercarea sistematică a tuturor combinațiilor de caractere posibile, până când este găsită cea corectă.
• Zxcvbn – este un algoritm avansat de notare disponibil pe GitHub. Pentru o parolă existentă, algoritmul determină schema acesteia. În continuare, algoritmul identifică numărul de iterații necesare ale căutării pentru fiecare element al schemei. Deci, dacă parola conține un cuvânt, atunci găsirea acestuia va dura un număr de iterații egal cu lungimea dicționarului. Având timp de căutare pentru fiecare element din schemă, se poate determina puterea parolei.
• Algoritm inteligent de ghicire – este un algoritm de învățare. Pe baza setului de date privind parolele utilizatorului, calculează frecvența diferitelor combinații de caractere. Apoi generează teste din variantele cele mai frecvente și combinația acestora cu cele mai puțin frecvente.