Lavoro per un'azienda che ha ~ 16.000 dipendenti. Periodicamente, il nostro vicepresidente dell'IT invia una newsletter con "suggerimenti tecnici" e materiale informatico vario. L'argomento della newsletter di questa settimana era "sicurezza della password". Il paragrafo introduttivo ha attirato la mia attenzione:
We just decrypted all user passwords in use to see if employees are using strong passwords. We used a combination of brute force,rcracki, hashcat/oclHhashcat and john-the-ripper tools to decrypt the passwords.
Questo è stato seguito da una tipica newsletter che parla di buone pratiche relative alle password: non utilizzare parole del dizionario; assicurati di usare maiuscole / simboli misti; non scrivere la password su un foglio giallo appiccicoso dal monitor; ecc ...
Ora, non sono un mago della crittografia, ma ero scettico sul fatto che avesse "decodificato tutte le password degli utenti". Posso credere che abbiano eseguito tutti gli hash attraverso i loro strumenti e "decodificati" una grande porzione di essi, ma è davvero ragionevole che abbiano le risorse informatiche per rivendicare di averli incrinati tutti ? (A proposito, "decrittografato" è corretto anche in questo contesto?)
Gli ho mandato un'email chiedendogli se intendesse dire che avevano eseguito tutte le password attraverso gli strumenti di cracking, e si sono limitati a trovare un gran numero di quelli più deboli. Tuttavia ha risposto che, no, avevano effettivamente decodificato TUTTE le password degli utenti.
Posso apprezzare la lezione sulla sicurezza che sta cercando di insegnare qui, ma la mia password è composta da 8 caratteri casuali, generati da KeePass. Ho pensato che fosse abbastanza buono, è qualcosa di simile a Q6&dt>w}
(ovviamente non è proprio così, ma è simile a quello).
I moderni strumenti di cracking sono davvero così potenti? O forse questo ragazzo mi sta solo prendendo in giro in nome di una buona lezione di sicurezza?
P.S. Ho risposto alla sua e-mail chiedendomi se poteva dirmi quali erano gli ultimi due caratteri della mia password. Nessuna risposta ancora, ma aggiornerò se riuscirà a produrlo!
Modifica Alcune risposte stanno discutendo la mia particolare lunghezza della password. Si noti che non solo afferma di aver infranto la mia password (che è credibile se mi hanno individuato), ma sostiene che lo hanno fatto per TUTTI gli utenti - e abbiamo oltre 10.000 dipendenti !! Non sono così ingenuo da pensare che ciò significhi 10.000 password sicure e sicure, ma se anche l'1% degli utenti ha una buona password, ci sono ancora 100 buone password sicure che dichiarano essere state incrinate!