Główna » jak » Czy krótkie hasła naprawdę są takie niepewne?

    Czy krótkie hasła naprawdę są takie niepewne?


    Znasz ćwiczenie: używaj długiego i zróżnicowanego hasła, nie używaj tego samego hasła dwa razy, użyj innego hasła dla każdej witryny. Używa krótkiego hasła naprawdę niebezpiecznego?
    Dzisiejsza sesja pytań i odpowiedzi przychodzi do nas dzięki uprzejmości SuperUser - poddziału Stack Exchange, opartego na społecznościach grupowania witryn z pytaniami i odpowiedziami.

    Pytanie

    Czytnik SuperUser user31073 jest ciekawy, czy powinien naprawdę zwrócić uwagę na ostrzeżenia o krótkim podaniu hasła:

    Korzystając z systemów takich jak TrueCrypt, kiedy muszę zdefiniować nowe hasło, często jestem informowany, że używanie krótkiego hasła jest niebezpieczne i "bardzo łatwe", aby je złamać przez brutalną siłę.

    Zawsze używam haseł o długości 8 znaków, które nie są oparte na słowach słownika, który składa się ze znaków z zestawu A-Z, a-z, 0-9

    To znaczy. Używam hasła jak sDvE98f1

    Jak łatwo jest złamać takie hasło przez brutalną siłę? To znaczy. jak szybko.

    Wiem, że zależy to w dużej mierze od sprzętu, ale może ktoś mógłby mi podać szacunek, ile czasu zajmie zrobienie tego w dual-core z 2GHZ lub cokolwiek innego, aby uzyskać referencje dla sprzętu.

    Aby zaatakować brutalnie takie hasło, trzeba nie tylko przechodzić przez wszystkie kombinacje, ale także próbować odszyfrować za pomocą każdego odgadniętego hasła, które również potrzebuje trochę czasu.

    Czy jest jakieś oprogramowanie do brutalnego ataku hackowania TrueCrypt, ponieważ chcę spróbować złamać moje własne hasło, aby sprawdzić, ile czasu zajmuje to, czy naprawdę jest to "bardzo łatwe".

    Czy krótkie hasła losowego charakteru są naprawdę zagrożone?

    Odpowiedź

    Pomocnik SuperUser Josh K. podkreśla, czego atakujący będzie potrzebować:

    Jeśli atakujący może uzyskać dostęp do skrótu hasła, często bardzo łatwo jest użyć brutalnej siły, ponieważ zawiera po prostu hashe.

    "Moc" hash zależy od sposobu przechowywania hasła. Wartość skrótu MD5 może zająć mniej czasu, aby wygenerować wartość skrótu SHA-512.

    System Windows, którego używałem (i nadal nie wiem) może przechowywać hasła w formacie mieszania LM, w którym zapisane jest hasło i podzielić je na dwie części składające się z 7 znaków, które następnie zostały zaszyfrowane. Gdybyś miał 15-znakowe hasło, nie miałoby to znaczenia, ponieważ zawierało tylko pierwsze 14 znaków, a łatwo było brutalnie wymuszać, ponieważ nie brutalnie wymuszałeś 14-znakowe hasło, brutalnie wymuszałeś dwa 7-znakowe hasła.

    Jeśli czujesz taką potrzebę, pobierz program taki jak John The Ripper lub Cain & Abel (linki wstrzymane) i przetestuj go.

    Pamiętam, że byłem w stanie wygenerować 200 000 skrótów na sekundę dla skrótu LM. W zależności od tego, w jaki sposób Truecrypt przechowuje hasz i czy można go odzyskać z zablokowanego woluminu, może to zająć więcej lub mniej czasu.

    Ataki typu Brute Force są często używane, gdy atakujący ma dużą liczbę skrótów do przejścia. Po uruchomieniu wspólnego słownika często zaczynają wymieniać hasła za pomocą typowych ataków typu brute force. Numerowane hasła do dziesięciu, rozszerzone symbole alfa i numeryczne, alfanumeryczne i pospolite, symbole alfanumeryczne i rozszerzone. W zależności od celu ataku może on prowadzić z różnym wskaźnikiem sukcesu. Próba naruszenia bezpieczeństwa jednego konta w szczególności często nie jest celem.

    Inny współpracownik, Phoshi, rozwija pomysł:

    Brute-Force nie jest realnym atakiem, prawie zawsze. Jeśli atakujący nie wie nic o Twoim haśle, nie przebije go przez tę brutalną stronę po 2020 roku. Może się to zmienić w przyszłości, w miarę postępu sprzętu (na przykład można użyć wszystkich, niezależnie od tego, ile-wiele-ma- teraz rdzenie na i7, znacznie przyspieszające proces (wciąż jednak lata))

    Jeśli chcesz być "bezpieczna", trzymaj w tym miejscu rozszerzony symbol ascii (przytrzymaj alt, użyj klawiatury numerycznej, aby wpisać liczbę większą niż 255). Takie postępowanie zapewnia, że ​​zwykła brutalna siła jest bezużyteczna.

    Powinieneś być zaniepokojony potencjalnymi błędami w algorytmie szyfrowania Truecrypt, co może znacznie ułatwić znalezienie hasła, i oczywiście najbardziej skomplikowane hasło na świecie jest bezużyteczne, jeśli maszyna, z której korzystasz, jest zagrożona..

    Dodalibyśmy odpowiedź Phoshi, by przeczytać: "Brute-force nie jest realnym atakiem, gdy używa się wyrafinowanego szyfrowania prądu, prawie zawsze".

    Jak podkreśliliśmy w naszym najnowszym artykule, wyjaśniono działanie ataków Brute-Force: jak wszystkie szyfrowania są podatne na ataki, schematy szyfrowania są starzone i zwiększa się moc sprzętu, więc to tylko kwestia czasu, zanim stanie się on twardym celem (jak algorytm szyfrowania haseł NTLM firmy Microsoft) można pokonać w ciągu kilku godzin.


    Czy masz coś do dodania do wyjaśnienia? Dźwięk w komentarzach. Chcesz przeczytać więcej odpowiedzi od innych użytkowników Stack Exchange, którzy znają się na technologii? Sprawdź cały wątek dyskusji tutaj.