Det jobbes aktivt med å gjøre fremtiden passordfri, men foreløpig må vi i stor grad leve med passordene som innloggingsform. Derfor er god passordskikk fremdeles svært viktig, noe vi nå har fått en ny påminnelse om.
Sikkerhetsselskapet Hive Systems utarbeider årlig en oversikt som indikerer hvor lang tid det vil ta en hacker å knekke passord via «brute force»-metoden, altså å «gjette» seg frem til det riktige passordet for å bryte seg inn på en brukerkonto.
Har blitt enklere siden sist
Nylig publiserte Hive Systems sin seneste 2023-oversikt, og den inneholder en del endringer fra fjorårets liste. På grunn av at maskinvaren generelt har blitt bedre siden sist, har det blitt betydelig enklere å knekke passordene, ifølge Hive Systems.
Som sist deler oversikten passordene inn i ulike kategorier basert på hvor mange tegn de består av og hvorvidt de kun består av tall, kun små bokstaver, blanding av store og små bokstaver, blanding av tall og små/store bokstaver og både tall, små/store bokstaver og symboler.
Ikke overraskende er det lange passord i sistnevnte kategori som er de aller sikreste, og korte passord med bare tall som er de minst sikre.
Ifølge den nye oversikten vil passord opp til en lengde på elleve tegn som kun består av tall kunne knekkes umiddelbart. Passord på elleve tegn som består av både tall, små/store bokstaver og spesialtegn, vil det ta tre år å knekke. Denne type passord ville det ta hele 34 år å knekke på fjorårets liste, så prosessen har altså blitt betydelig mer effektiv siden sist.
Alle passord på seks tegn er usikre
Alle typer passord på opp til seks tegn, inkludert de som består av både tall, små/store bokstaver og tegn, vil også kunne knekkes umiddelbart, ifølge Hive Systems. Om man øker lengden på de mest kompliserte passordene til syv, åtte, ni og ti tegn, øker tiden det tar å knekke dem til henholdsvis fire sekunder, fem minutter, seks timer og to uker.
I den aller sikreste enden av skalaen, passord bestående av 18 tegn med en blanding av tall, små/store bokstaver og symboler, vil det ifølge oversikten ta solide 26 billioner år å knekke passordet – som nok i praksis kan oversettes med «umulig». Dette tallet er likevel en markant reduksjon fra fjorårets liste, hvor det tok 438 billioner år å knekke denne type passord.
Ingen av disse tallene er nødvendigvis helt representative for hvor lang tid hackere faktisk ville brukt på å knekke passordene i praksis. Det finnes flere metoder for å beregne dette, og ingen av dem er nok helt presise.
Brukte kraftig skjermkort
Metodologien til Hive Systems går ut på å sette opp lister av alle mulige kombinasjoner av tegn på tastaturet, for så lage hashverdier av disse ved hjelp av ulike verktøy og sammenligne dem med hashverdier fra stjålne passord.
Til å utføre arbeidet ble det brukt ulike typer skjermkort, og tiden ble beregnet ut fra hvor mange hasher per sekund det tok grafikkprosessorene å utføre operasjonene. Dette antallet varierer med ytelsen til skjermkortene, som oppgis i FLOPS (floating point operations per second), og derfor satte sikkerhetsforskerne opp flere ulike tabeller etter hvilket skjermkort som ble brukt.
Tabellen Hive Systems valgte som årets hovedtabell, er basert på det potente skjermkortet GeForce RTX 4090 fra Nvidia – nærmere bestemt 12 stykker som Hive fikk tilgang til via en nettbasert tjeneste hvor man kan «leie» tilgang til maskinvare fra andre. I tillegg benyttet selskapet hashing-algoritmen MD5.
En detaljert gjennomgang av resultater og metodologi finner du hos Hive Systems.
Dette er passordene nordmenn bruker mest – er ditt på topplisten?
