Gyenge kód
Az interneten is kipróbálható jelszótörési kísérletek eredményei rámutatnak a Microsoft jelszótitkosítási eljárásainak ismert gyengeségeire, melyekre alapozva különösen sikeresen alkalmazhatók a hasonló törési módszerek. "A Windows-jelszavakkal az a probléma, hogy nem tartalmaznak véletlenszerű információt, így nem valami jók" - nyilatkozta Philippe Oechslin, a lausanne-i Svájci Szövetségi Technológiai Intézet kriptográfiai laboratóriumának oktatója a News.com-nak.
Az Oechslin által kedden publikált módszer a fenti gyengeségre épít, valamint olyan korábbi kutatásokra, melyekből kiderült, hogy a titkosítási algoritmusok nagy kikeresőtáblák segítségével felgyorsíthatók. A kutató 1,4 GB méretű táblát használt a jelszavak tárolására, a törés egy AMD 2500+ processzoros, 1,5 GB memóriával felszerelt számítógépen fut, melyen az internetezők is tesztelhetik jelszavaik biztonságát.
A kettőspontot nem tudja
A módszerrel csak a betűkből és számokból álló, alfanumerikus jelszavak törhetők, a más karaktereket, például írásjeleket is tartalmazó jelszavak nem. A kutató weboldalán olvasható lista szerint a BLABLA jelszót 2 másodperc, a hotblast jelszót 7 másodperc, az APSTNDP47 jelszót pedig 39 másodperc alatt törte fel a szoftver.
A már régóta alkalmazott, számításigényes jelszótörő eljáráshoz a jelszót vagy jelszavakat tartalmazó, titkosított fájl szükséges. Noha a titkosított jelszóból nem fejthető vissza az eredeti, a titkosító algoritmus ismeretében mégis kideríthető, mi volt az eredeti jelszó. Ehhez ugyanazzal a titkosító algoritmussal kell bekódolni a lehetséges jelszókombinációkat, majd a kódolt jelszót összehasonlítani a lehetséges, kódolt jelszavakat tartalmazó listával, ezt tartalmazza a kikeresőtábla. Ha két kódolt jelszó megegyezik, eredetijük is azonos, legalábbis a Windows rendszerekben alkalmazott titkosítási módszerek esetén.