Bir Outpost24 şirketi olan Specops Software, bcrypt şifreleri ve bunların kırılmasının ne kadar kolay (veya değil) olduğu hakkında yeni bir araştırma yayınladı. Bu araştırma, saldırganların daha yeni donanımların yardımıyla MD5 karmalı kullanıcı parolalarına kaba kuvvetle başvurmasının ne kadar zaman aldığına ilişkin daha önce yayınlanmış verileri takip ediyor.
bcrypt, güçlü bir karma algoritması kullandığından, parolaları korumanın giderek daha popüler bir yolu haline geliyor. Ek olarak, güvenliği artırmak için bcrypt ayrıca her şifre karma işlemine rastgele bir veri parçası ekleyerek şifrenin benzersizliğini sağlar ve sözlük veya kaba kuvvet saldırılarıyla tahmin edilmesini çok zorlaştırır.
Araştırma, bir bcrypt karmasının oluşturulmasının zaman aldığını ancak kırılmasının da zaman aldığını buldu. Bir tehdit aktörü pes edebilir, bilgi işlem gücünden yoksun olabilir veya güvenlik ekiplerine şüpheli etkinlikleri fark etmeleri için gereken süreyi verebilir. Daha yüksek bilgisayar hızlarında bile, değişken sayıda parola yinelemesi sayesinde bcrypt’in kaba kuvvetle hacklenmesi çok zaman alır.
Ancak sonuçta bcrypt karması, parolanın ele geçirilmesini tamamen önleyemez. Kısa, karmaşık olmayan parolalar hâlâ nispeten hızlı bir şekilde kırılabiliyor; bu da kullanıcıların zayıf (ancak çok yaygın) parolalar oluşturmasına izin vermenin büyük risklerini vurguluyor. Ancak sekiz karakterden uzun parolalarda bir karakter kombinasyonu kullanıldığında, korsanların hızlı bir şekilde kırılması neredeyse imkansız bir görev haline gelir.
Bu araştırma, İhlal Edilen Parola Koruması hizmetinin güncellenmesiyle örtüşmektedir. Bu ay listeye 21 milyondan fazla ele geçirilmiş şifre eklendi. Yakın zamanda Specops, İhlal Edilen Parola Koruması aracı için yeni bir sürekli tarama özelliğini duyurdu.