Parolele scurte sunt într-adevăr nesigure?
Știți exercițiul: utilizați o parolă lungă și variată, nu utilizați aceeași parolă de două ori, utilizați o altă parolă pentru fiecare site. Folosește o parolă scurtă cu adevărat periculoasă?
Sesiunea de întrebări și răspunsuri din ziua de astăzi vine de la amabilitatea SuperUser - o subdiviziune a Stack Exchange, o grupare bazată pe comunitate a site-urilor web Q & A.
Intrebarea
Utilizatorul SuperUser user31073 este curios dacă ar trebui să țină seama cu atenție de avertismentele cu parolă scurtă:
Folosind sisteme precum TrueCrypt, când trebuie să definim o parolă nouă, sunt adesea informat că folosirea unei parole scurte este nesigură și "foarte ușor" de a rupe prin forța brute.
Întotdeauna folosesc parole de lungime de 8 caractere, care nu se bazează pe cuvinte ale dicționarului, care constă din caractere din setul A-Z, a-z, 0-9
I.E. Eu folosesc parola ca sdvE98f1
Cât de ușor este să spargi o astfel de parolă prin forță brută? I.E. cât de repede.
Știu că depinde foarte mult de hardware-ul, dar poate cineva ar putea să-mi dea o estimare cât timp ar dura pentru a face acest lucru pe un dual core cu 2GHZ sau orice altceva de a avea un cadru de referință pentru hardware.
Pentru a ataca o forță brute, o astfel de parolă are nevoie nu numai de a trece prin toate combinațiile, ci și de a decripta cu fiecare parolă ghicită, care are de asemenea nevoie de ceva timp.
De asemenea, există oarecare software pentru a brute-forța hack TrueCrypt pentru că vreau să încerc să brute-vigoare crack propria parola pentru a vedea cât timp este nevoie, dacă este într-adevăr că "foarte ușor".
Sunt foarte periculoase parolele cu caractere aleatoare scurte?
Răspunsul
Contribuitorul SuperUser Josh K. evidențiază ce ar avea nevoie atacatorul:
În cazul în care atacatorul poate obține acces la hash-ul parolei, este adesea foarte ușor de forțat brute, deoarece presupune pur și simplu parole de hash până când meciul hashes.
"Puterea" hash-ului depinde de modul în care este stocată parola. Un hash de MD5 poate dura mai puțin timp pentru a genera un șah SHA-512.
Windows-ul folosit pentru (și poate încă, nu știu) stochează parole într-un format hash LM, care a ridicat parola și a împărțit-o în două bucăți de 7 caractere care au fost apoi rulate. Dacă ai avea o parolă de 15 caractere, nu ar conta pentru că a salvat doar primele 14 caractere și a fost ușor să forțezi forța pentru că nu ai fost forțată să forțezi o parolă de 14 caractere, ai fost forțată să forțezi două parole de 7 caractere.
Dacă simțiți nevoia, descărcați un program precum John The Ripper sau Cain & Abel (link-uri reținute) și testați-l.
Îmi amintesc că a fost capabil să genereze 200.000 hash-uri pe secundă pentru un hash LM. În funcție de modul în care Truecrypt stochează hash-ul și dacă poate fi preluat dintr-un volum blocat, ar putea dura mai mult sau mai puțin timp.
Forțele de atac brute sunt adesea folosite atunci când atacatorul are un număr mare de hashes pentru a trece prin. După ce se rulează printr-un dicționar comun, adesea vor începe să paroleze parolele cu atacuri de forță brutale comune. Parole numerotate până la zece, alfa și numerice alfanumerice, simboluri comune, alfanumerice și simboluri extinse. În funcție de scopul atacului, acesta poate conduce cu rate diferite de succes. Încercarea de a compromite securitatea unui cont în special nu este adesea obiectivul.
Un alt contribuabil, Phoshi se extinde pe ideea:
Brute-Force nu este un atac viabil, destul de mult. Dacă atacatorul nu știe nimic despre parola dvs., el nu o primește prin forța brute pe această parte a anului 2020. Acest lucru se poate schimba în viitor, pe măsură ce hardware-ul avansează (De exemplu, s-ar putea folosi totul - multe - acum nuclee pe un i7, accelerarea masivă a procesului (Totuși, încă vorbind ani)
Dacă doriți să fiți -super-siguri, lipiți un simbol extins-ascii acolo (Țineți altul, utilizați numpadul pentru a introduce un număr mai mare de 255). Făcând asta, se asigură că o forță brută nu este inutilă.
Ar trebui să fii preocupat de potențialele erori în algoritmul de criptare al truecrypt, care ar putea face mult mai ușor să găsești o parolă și, bineînțeles, cea mai complexă parolă din lume este inutilă dacă mașina pe care o folosești este compromisă.
Am adnota răspunsul lui Phoshi pentru a citi: "Forța brută nu este un atac viabil, atunci când se folosește o criptare generalizată de generație curentă, destul de mult".
Așa cum am subliniat în ultimul nostru articol, atacurile Brute-Force au explicat: Cum toate criptarea este vulnerabilă, sistemele de criptare vârstă și creșterea puterii hardware, deci este doar o chestiune de timp înainte de ceea ce a fost o țintă greu (cum ar fi algoritmul de criptare al parolei NTLM al Microsoft) este învingător într-o chestiune de ore.
Aveți ceva de adăugat la explicație? Sunați în comentariile. Doriți să citiți mai multe răspunsuri de la alți utilizatori de tehnologie Stack Exchange? Check out discuția completă aici.