Lavoro per un'azienda che ha ~ 16.000 dipendenti. Periodicamente, il nostro vicepresidente IT invia una newsletter con "suggerimenti tecnici" e varie cose IT. L'argomento della newsletter di questa settimana era "sicurezza delle password". Il paragrafo introduttivo ha attirato la mia attenzione:
Abbiamo appena decrittografato tutte le password degli utenti in uso per vedere se i dipendenti utilizzano password complesse. Abbiamo utilizzato una combinazione di strumenti di forza bruta, rcracki, hashcat / oclHhashcat e john-the-ripper per decrittografare le password.
Questo è stato seguito da una tipica newsletter che parlava di buone pratiche per le password: Don ' t utilizzare parole del dizionario; assicurati di utilizzare maiuscole / minuscole / simboli misti; non scrivere la tua password su una carta adesiva gialla vicino al tuo monitor; ecc ...
Ora, non sono un mago della crittografia, ma ero scettico sul fatto che affermasse di aver "decrittografato tutte le password degli utenti". Posso credere che forse hanno eseguito tutti gli hash attraverso i loro strumenti e ne hanno "decrittografati" gran parte , ma è davvero ragionevole che abbiano le risorse informatiche per affermare di averli crackati > tutti ? (A proposito, "decrittografato" è persino corretto in questo contesto?)
Gli ho inviato un'e-mail chiedendogli se intendeva dire che avevano eseguito tutte le password ATTRAVERSO gli strumenti di cracking e ne hanno semplicemente trovato un gran numero più deboli . Tuttavia ha risposto che, no, avevano effettivamente decriptato TUTTE le password degli utenti.
Posso apprezzare la lezione sulla sicurezza che sta cercando di insegnare qui, ma la mia password è di 8 caratteri casuali, generati da KeePass. Ho pensato che fosse abbastanza buono, è qualcosa di simile a Q6&dt>w}
(ovviamente non è proprio così, ma è simile a quello).
I moderni strumenti di cracking sono davvero così potenti? O questo tizio probabilmente mi sta solo prendendo in giro in nome di una buona lezione di sicurezza?
P.S. Ho risposto alla sua email chiedendogli se poteva dirmi quali erano gli ultimi due caratteri della mia password. Nessuna risposta ancora, ma aggiornerò se riuscirà a produrla!
EDIT: Alcune risposte stanno discutendo la mia particolare lunghezza della password. Nota che non solo sta affermando di aver violato la MIA password (il che è credibile se mi hanno individuato), ma sta affermando che lo hanno fatto per TUTTI gli utenti - e abbiamo oltre 10.000 dipendenti !! Non sono così ingenuo da pensare che ciò significhi 10.000 buone password sicure, ma se anche l'1% degli utenti ha una buona password, sono comunque 100 buone password sicure che affermano di aver violato!