कॅस्परस्की आणि जागतिक तज्ञ का म्हणतात की MD5 आधुनिक सुरक्षितता मोडत आहे?

कॅस्परस्कीने पासवर्डबद्दल वाईट बातमी शेअर करण्यासाठी योग्य वेळ निवडली. जागतिक पासवर्ड दिनानिमित्त, सुरक्षा फर्मने उघड केले की बहुतेक पासवर्ड हॅश आता एका तासापेक्षा कमी वेळेत एका आधुनिक ग्राफिक्स कार्डने क्रॅक केले जाऊ शकतात.

कंपनीने डार्क वेब लीकमधून गोळा केलेल्या 231 दशलक्षाहून अधिक युनिक पासवर्डची चाचणी केली. त्या डेटासेटमध्ये शेवटच्या अभ्यासापासून 38 दशलक्ष पासवर्ड जोडले गेले आहेत. संशोधकांनी MD5 सह पासवर्ड हॅश केले, हा एक जलद हॅशिंग अल्गोरिदम आहे जो अनेक सिस्टीम अनेक वर्षांच्या सुरक्षा चेतावणींनंतरही वापरतात.

एक Nvidia RTX 5090 GPU वापरून, Kaspersky ला आढळले की 60 टक्के पासवर्ड हॅश एका तासाच्या आत क्रॅक होऊ शकतात. एका मिनिटापेक्षा कमी वेळात जवळपास अर्धा पडला.

तो परिणाम सुरुवातीला टोकाचा वाटतो. RTX 5090 महाग आहे आणि हाय-एंड वर्कलोडसाठी तयार केले आहे. तरीही खरा मुद्दा हार्डवेअरचा नाही. हल्लेखोरांना यापुढे शक्तिशाली सिस्टीम असणे आवश्यक नाही. ते थोड्या शुल्कासाठी क्लाउड GPU भाड्याने देऊ शकतात आणि मोठ्या प्रमाणात पासवर्ड क्रॅकिंग टूल्स चालवू शकतात.

संदेश सोपा आहे: हल्लेखोरांना चोरीला गेलेल्या डेटामध्ये प्रवेश मिळाल्यावर केवळ जलद हॅशिंग अल्गोरिदमद्वारे संरक्षित केलेले पासवर्ड यापुढे सुरक्षित राहत नाहीत.

कॅस्परस्की म्हणाले, “एका तासात हल्लेखोराला लीकमध्ये सापडलेल्या प्रत्येक पाचपैकी तीन पासवर्ड क्रॅक करणे आवश्यक आहे.”

पासवर्ड गॅप: का हार्डवेअर गती मानवी सवयीपेक्षा जास्त आहे

समस्या हार्डवेअरच्या पलीकडे जाते. पासवर्ड अंदाजे राहतात. बरेच लोक अजूनही नावे, तारखा, साधे नमुने किंवा लहान वाक्ये वापरतात. हे हल्लेखोरांना माहीत आहे. आधुनिक क्रॅकिंग टूल्स प्रथम यादृच्छिक संयोजनांचा अंदाज लावत नाहीत. ते सामान्य रचना, पुन्हा वापरलेले वाक्यांश आणि लोकप्रिय वर्ण नमुन्यांसह प्रारंभ करतात.

यामुळे क्रॅकिंगचा वेळ मोठ्या फरकाने कमी होतो.

कॅस्परस्कीने परिणामांची तुलना 2024 च्या समान अभ्यासाशी केली. 2026 मध्ये पासवर्ड क्रॅक करणे थोडे सोपे झाले. बदल लहान होता, परंतु ट्रेंड महत्त्वाचा होता. ग्राफिक्स प्रोसेसर वेगवान होत राहतात तर वापरकर्त्याच्या पासवर्डच्या सवयी बहुतेक अपरिवर्तित राहतात.

कंपनीने त्या अंतराला थेट GPU कामगिरी वाढीवर दोष दिला.

अनेक वर्षांपासून, तंत्रज्ञान उद्योग “संकेतशब्दाच्या मृत्यू” बद्दल बोलत आहे. तरीही पासवर्ड बहुतेक लॉगिन सिस्टमच्या मध्यभागी बसतात. बरेच लोक कामासाठी, बँकिंगसाठी, खरेदीसाठी आणि वैयक्तिक खात्यांसाठी दररोज डझनभर वेळा त्यांचा वापर करतात.

सुरक्षा तज्ञ आता असा युक्तिवाद करतात की संकेतशब्दांनी संरक्षणाचा फक्त एक स्तर म्हणून कार्य केले पाहिजे.

ख्रिस गनर, व्यवस्थापित सेवा प्रदाता Thrive चे व्हर्च्युअल CISO, म्हणाले की मजबूत पासवर्ड अजूनही महत्त्वाचे आहेत, परंतु ते खाते सुरक्षिततेचा संपूर्ण भार उचलू शकत नाहीत.

गनरच्या मते, संस्थांना पासवर्डच्या आसपास व्यापक ओळख नियंत्रणे आवश्यक आहेत. त्याने बहु-घटक प्रमाणीकरणाची शिफारस केली, विशेषत: बायोमेट्रिक पडताळणी, कारण ती पासवर्ड नंतरच आणखी एक अडथळा निर्माण करते. हल्लेखोरांनी पासवर्ड क्रॅक केला किंवा चोरला तरीही, त्यांना दुसऱ्या घटकात प्रवेश आवश्यक आहे.

गनरने ओळख प्रशासन, एंडपॉईंट संरक्षण आणि शून्य विश्वास सुरक्षा मॉडेलच्या गरजेवर भर दिला. ही नियंत्रणे एका तडजोड केलेल्या खात्यात प्रवेश मिळवल्यानंतर आक्रमणकर्त्यांना होणारे नुकसान कमी करतात.

व्यापक धडा स्पष्ट आहे. कंपन्यांनी पासवर्डला संपूर्ण सुरक्षा उपाय म्हणून हाताळणे थांबवावे.

आधुनिक प्रमाणीकरणामध्ये संस्थांनी नेतृत्व का करावे?

स्टीव्हन फर्नेल, एक वरिष्ठ IEEE सदस्य आणि नॉटिंगहॅम विद्यापीठातील सायबरसुरक्षा प्राध्यापक, असा युक्तिवाद केला की वापरकर्त्यांनी सर्व दोष देखील घेऊ नये.

अनेक वेबसाइट्स अजूनही पासकीजसारख्या मजबूत लॉगिन पद्धतींना सपोर्ट करण्यात अयशस्वी ठरतात. इतर कमकुवत संकेतशब्दांना अनुमती देतात किंवा सुरक्षित क्रेडेन्शियल कसे तयार करावे याबद्दल थोडेसे मार्गदर्शन देतात. यामुळे वापरकर्ते कालबाह्य प्रणाली आणि वाढत्या सुरक्षा जोखमींमध्ये अडकतात.

फर्नेलने नमूद केले की लोकांना सहसा मिश्रित लॉगिन अनुभवाचा सामना करावा लागतो. काही सेवा पासकी आणि आधुनिक प्रमाणीकरण साधनांना समर्थन देतात, तर काही एकट्या पासवर्डवर अवलंबून असतात. जोपर्यंत दत्तक घेणे सुसंगत होत नाही तोपर्यंत पासवर्ड हे रोजच्या जीवनाचा भाग राहतील.

त्याने असेही निदर्शनास आणले की अनेक साइट्स मजबूत पासवर्ड नियम लागू करण्यात अयशस्वी ठरतात. काही अजूनही लहान पासवर्ड, कमकुवत नमुने किंवा पुन्हा वापरलेल्या क्रेडेन्शियल्सना परवानगी देतात. बऱ्याच प्रकरणांमध्ये, वापरकर्त्यांना आधुनिक पासवर्ड सुरक्षिततेबद्दल कधीही स्पष्ट सल्ला मिळत नाही.

त्यामुळे जबाबदारीचा काही भाग संस्थांकडे परत जातो.

जागतिक पासवर्ड दिनाने केवळ वापरकर्त्यांना मजबूत पासवर्ड तयार करण्यास सांगण्यावर लक्ष केंद्रित करू नये. कंपन्यांनी प्रमाणीकरण प्रणालीचेही आधुनिकीकरण केले पाहिजे. सशक्त हॅशिंग अल्गोरिदम, मल्टी-फॅक्टर ऑथेंटिकेशन, पासकी आणि स्तरित सुरक्षा नियंत्रणे हे आता मानक सराव असले पाहिजेत.

पासवर्ड लवकर गायब होत नाहीत. परंतु एकट्या पासवर्डने खात्याचे संरक्षण केले जाऊ शकते ही कल्पना यापुढे आधुनिक आक्रमण साधनांच्या विरोधात टिकून राहिली नाही.

कॅस्परस्कीचे नवीनतम निष्कर्ष दाखवतात की एकदा डेटा लीक झाल्यानंतर हल्लेखोर किती लवकर कमकुवत संरक्षण मोडू शकतात. बऱ्याच प्रकरणांमध्ये, पासवर्ड क्रॅक करण्यासाठी आता दिवसांऐवजी मिनिटे लागतात.

त्या वास्तविकतेमुळे कंपन्यांना एक व्यावहारिक पर्याय मिळतो: आक्रमणकर्ते आणि संवेदनशील प्रणालींमध्ये एकापेक्षा जास्त लॉक केलेले दरवाजे तयार करा.