If-Koubou

Parolele scurte sunt într-adevăr incorecte?

Parolele scurte sunt într-adevăr incorecte? (Cum să)


Știți exercițiul: utilizați o parolă lungă și variată, nu utilizați aceeași parolă de două ori, utilizați o parolă diferită pentru fiecare site. Folosește o parolă scurtă cu adevărat periculoasă?
Sesiunea de întrebări și răspunsuri din ziua de astăzi vine de la amabilitatea SuperUser - o subdiviziune a Stack Exchange, o grupare bazată pe comunitate a site-urilor Q & A.

Intrebarea

Utilizatorul SuperUser user31073 este curios dacă ar trebui să țină seama cu atenție de avertismentele cu parolă scurtă:

Folosind sisteme precum TrueCrypt, când trebuie să definim o nouă parolă, sunt adesea informat că folosirea unei parole scurte este nesigură și "foarte ușor" de a rupe prin forța brute.

Întotdeauna folosesc parole de lungime de 8 caractere, care nu se bazează pe cuvinte ale dicționarului, care constă din caractere din setul A-Z, a-z, 0-9

I.E. Eu folosesc parola ca sDvE98f1

Cât de ușor este să spargi o astfel de parolă prin forță brută? I.E. cât de repede.

Știu că depinde în mare măsură de hardware-ul, dar poate cineva ar putea să-mi dea o estimare cât timp ar dura pentru a face acest lucru pe un dual core cu 2GHZ sau orice altceva de a avea un cadru de referință pentru hardware-ul.

Pentru a ataca o forță brute, o astfel de parolă are nevoie nu numai de a parcurge toate combinațiile, ci și de a decripta cu fiecare parolă ghicită, care are de asemenea nevoie de ceva timp.

De asemenea, există ceva software pentru a forța brute-hack TrueCrypt pentru că vreau să încerc să-brute-vigoare sparge parola mea pentru a vedea cât timp este nevoie, dacă este într-adevăr că "foarte ușor".

Sunt parole scurte de caractere aleatoare cu adevărat în pericol?

Răspunsul

Contribuitorul SuperUser Josh K. evidențiază ce ar avea nevoie atacatorul:

În cazul în care atacatorul poate obține acces la hash-ul parolei, este adesea foarte ușor de forțat brute, deoarece implică pur și simplu parole de hashing până la potrivirea hashes.

Forța "hash" a dependenței de modul în care este stocată parola. Un hash de MD5 poate dura mai puțin timp pentru a genera un șah SHA-512.

Windows-ul folosit pentru (și poate încă, nu știu) stochează parole într-un format hash LM, care a ridicat parola și a împărțit-o în două bucăți de 7 caractere care au fost apoi rulate. Dacă ai avea o parolă de 15 caractere, nu ar conta pentru că a păstrat doar primele 14 caractere și a fost ușor să forțezi forța pentru că nu ai fost forțată să forțezi o parolă de 14 caractere, ai fost forțată să forțezi două parole de 7 caractere.

Dacă simțiți nevoia, descărcați un program precum John The Ripper sau Cain & Abel (link-uri reținute) și testați-l.

Îmi amintesc că a fost capabil să genereze 200.000 hash-uri pe secundă pentru un hash LM. În funcție de modul în care Truecrypt stochează hash-ul și dacă poate fi preluat dintr-un volum blocat, ar putea dura mai mult sau mai puțin timp.

Forțele de atac brute sunt adesea folosite atunci când atacatorul are un număr mare de hashes pentru a trece prin. După ce se rulează printr-un dicționar comun, adesea vor începe să paroleze parolele cu atacuri de forță brutale comune. Parole numerotate până la zece, alfa și numerice alfanumerice, simboluri comune, alfanumerice și simboluri extinse. În funcție de scopul atacului, acesta poate conduce cu rate diferite de succes. Încercarea de a compromite securitatea unui cont, în special, nu este adesea scopul.

Un alt contribuitor, Phoshi se extinde pe ideea:

Brute-Force nu este un atac viabil, destul de mult. În cazul în care atacatorul nu știe nimic despre parola dvs., el nu o primește prin forța brute a acestei părți a anului 2020. Aceasta se poate schimba în viitor, pe măsură ce hardware-ul avansează (De exemplu, s-ar putea folosi totuși toate - multe - acum nuclee pe un i7, accelerarea masivă a procesului (Totuși, încă vorbind ani)

Dacă doriți să fiți "super-siguri", lipiți un simbol extins-ascii acolo (Țineți altul, utilizați numpadul pentru a introduce un număr mai mare de 255). Făcând asta, se asigură că o forță bruta simplă este inutilă.

Ar trebui să fiți preocupați de potențialele erori ale algoritmului de criptare al truecrypt, care ar putea face mult mai ușor să găsească o parolă și, bineînțeles, cea mai complexă parolă din lume este inutilă dacă mașina pe care o utilizați este compromisă.

Am adnota răspunsul lui Phoshi pentru a citi "Forța bruște nu este un atac viabil, atunci când se folosește o criptare generalizată de generație curentă, aproape oricând".

Așa cum am subliniat în ultimul nostru articol, atacurile Brute-Force au explicat: Cum toate criptarea este vulnerabilă, sistemele de criptare vârstă și creșterea puterii hardware, deci este doar o chestiune de timp înainte de ceea ce a fost o țintă greu (cum ar fi algoritmul de criptare a parolei NTLM al Microsoft) este învingător în câteva ore.

Aveți ceva de adăugat la explicație? Sunați în comentariile. Doriți să citiți mai multe răspunsuri de la alți utilizatori de tehnologie Stack Exchange? Check out discuția completă aici.