13Sep
Du kender boret: brug en lang og varieret adgangskode, brug ikke samme adgangskode to gange, brug en anden adgangskode til hvert websted. Er der en kort adgangskode virkelig så farlig?
Dagens Spørgsmål &Svar session kommer til os høflighed af SuperUser-en underafdeling af Stack Exchange, en community-drevet gruppe af Q & A-websteder.
Spørgsmål
SuperUser-læseren user31073 er nysgerrig om, at han virkelig bør respektere disse advarsler med kort adgangskode:
Ved at bruge systemer som TrueCrypt, når jeg skal definere en ny adgangskode, bliver jeg ofte informeret om, at ved hjælp af en kort adgangskode er usikker og "meget let"at bryde ved brute-force.
Jeg bruger altid adgangskoder med 8 tegn i længden, som ikke er baseret på ordbogsord, som består af tegn fra sæt A-Z, a-z, 0-9
I.e. Jeg bruger adgangskode som sDvE98f1
Hvor nemt er det at knuse et sådant kodeord med brute-force? Dvs.hvor hurtigt.
Jeg ved, at det er meget afhængigt af hardwareen, men måske kan nogen give mig et skøn over, hvor længe det ville tage at gøre dette på en dobbeltkern med 2GHz eller hvad som helst for at have en referenceramme for hardware.
For at brute-force angribe et sådant kodeord, behøver man ikke kun at cykle gennem alle kombinationer, men også forsøge at dekryptere med hver gættet kodeord, som også har brug for noget tid.
Er der også noget software til brute-force hack TrueCrypt, fordi jeg vil forsøge at brute-force sprænge mit eget kodeord for at se, hvor lang tid det tager, hvis det virkelig er så "meget nemt".
Er korte tilfældige tegn passwords virkelig i fare?
Svaret
SuperUser-bidragyder Josh K. fremhæver, hvad angriberen ville have brug for:
Hvis angriberen kan få adgang til password-hash, er det ofte meget let at brute force, da det blot medfører hash-adgangskoder, indtil hashene matcher.
Hash "styrke" afhænger af, hvordan adgangskoden er gemt. En MD5 hash kan tage mindre tid at generere end en SHA-512 hash.
Windows plejede at( og det kan jeg stadig ikke vide) gemme adgangskoder i et LM hash-format, der opslåede adgangskoden og opdele det i to 7 tegnbiter, der derefter blev hashed. Hvis du havde et kodeord på 15 tegn, ville det ikke have betydning, fordi det kun lagrede de første 14 tegn, og det var let at brute kraft, fordi du ikke var brutal på at tvinge et 14 tegn kodeord, du var tvunget til at tvinge to 7 tegn passwords.
Hvis du føler behovet, skal du downloade et program som John The Ripper eller Cain &Abel( links tilbageholdt) og test det.
Jeg husker at kunne generere 200.000 hash'er et sekund for en LM hash. Afhængigt af hvordan Truecrypt gemmer hash, og hvis det kan hentes fra et låst volumen, kan det tage mere eller mindre tid.
Brutte kraftangreb bruges ofte, når angriberen har et stort antal hash'er til at gå igennem. Efter at have kørt gennem en fælles ordbog, begynder de ofte at lukke adgangskoder ud med almindelige brute force angreb. Nummerede adgangskoder op til ti, udvidede alfanumeriske og numeriske, alfanumeriske og almindelige symboler, alfanumeriske og udvidede symboler. Afhængigt af målet om angrebet kan det føre til varierende succesrate. Forsøg på at kompromittere sikkerheden for en konto i særdeleshed er ofte ikke målet.
En anden bidragyder, Phoshi udvider på ideen:
Brute-Force er ikke et levedygtigt angreb , stort set nogensinde. Hvis angriberen ikke ved noget om dit kodeord, får han det ikke gennem brute force denne side af 2020. Det kan ændre sig i fremtiden, som hardware fremskridt( For eksempel kan man bruge alle de mange-det-har-nu kerner på en i7, massivt fremskynder processen( stadig talende år))
Hvis du vil være sikker, skal du holde et udvidet ascii-symbol derinde( Hold alt, brug nummeret til at skrive et nummerstørre end 255).Hvis du gør det, sikrer du stort set, at en ren brute-force er ubrugelig.
Du bør være bekymret over mulige fejl i truecrypts krypteringsalgoritme, hvilket kunne gøre det meget nemmere at finde et kodeord, og selvfølgelig er den mest komplekse adgangskode i verden ubrugelig, hvis den maskine, du bruger den på, er kompromitteret.
Vi ville annotere Phoshis svar for at læse "Brute-force er ikke et levedygtigt angreb, når vi bruger sofistikeret nuværende generationskryptering, stort set nogensinde".
Som vi fremhævede i vores nylige artikel, forklares Brute Force Attacks: Hvor al kryptering er sårbar, krypteringsordninger alder og hardwarekraft øges, så det er kun et spørgsmål om tid før det, der tidligere var et hårdt mål( som Microsofts NTLM password krypteringsalgoritme) er besejret i løbet af få timer.
Har du noget at tilføje til forklaringen? Lyde af i kommentarerne. Vil du læse flere svar fra andre tech-savvy Stack Exchange brugere? Tjek den fulde diskussionstråd her.