13Sep
Sie kennen die Übung: Verwenden Sie ein langes und vielfältiges Passwort, verwenden Sie nicht dasselbe Passwort zweimal, verwenden Sie für jede Site ein anderes Passwort. Ist ein kurzes Passwort wirklich so gefährlich?
Heutige Frage &Die Antwortsitzung kommt dank SuperUser, einer Unterteilung von Stack Exchange, einer Community-gesteuerten Gruppierung von Q & A-Websites, zu uns.
Die Frage
SuperUser reader user31073 ist neugierig, ob er diese Kurzpasswortwarnungen wirklich beherzigen sollte:
Mit Systemen wie TrueCrypt, wenn ich ein neues Passwort definieren muss, werde ich oft darüber informiert, dass die Verwendung eines kurzen Passworts unsicher und "sehr einfach" istdurch Brute-Force brechen.
Ich verwende immer Kennwörter mit einer Länge von 8 Zeichen, die nicht auf Wörterbuchwörtern basieren, die aus Zeichen aus der Menge A-Z, a-z, 0-9
I.e. bestehen. Ich benutze Passwort wie sDvE98f1
Wie einfach ist es, ein solches Passwort durch Brute-Force zu knacken? I.e.wie schnell.
Ich weiß, es hängt stark von der Hardware ab, aber vielleicht könnte mir jemand eine Schätzung geben, wie lange es dauern würde, dies auf einem Dual Core mit 2GHZ oder was auch immer zu tun, um einen Referenzrahmen für die Hardware zu haben.
Um solch ein Passwort brutal zu erzwingen, muss man nicht nur alle Kombinationen durchlaufen, sondern auch versuchen, mit jedem erratenen Passwort zu entschlüsseln, was auch etwas Zeit benötigt.
Gibt es auch eine Software, um TrueCrypt zu brute-force zu hacken, weil ich versuchen will, mein eigenes Passwort brutal zu knacken, um zu sehen, wie lange es dauert, wenn es wirklich "sehr einfach" ist.
Sind kurze zufällige Zeichenpasswörter wirklich gefährdet?
Der Antwort-
-SuperUser-Mitwirkender Josh K. hebt hervor, was der Angreifer benötigt:
Wenn der Angreifer Zugriff auf den Passwort-Hash erhält, ist es oft sehr einfach, Gewalt zu erzeugen, da Hash-Passwörter einfach Hashes entsprechen.
Der Hash "Stärke" hängt davon ab, wie das Passwort gespeichert ist. Ein MD5-Hash benötigt möglicherweise weniger Zeit, um einen SHA-512-Hash zu generieren.
Windows verwendete( und kann immer noch, ich weiß es nicht) Passwörter in einem LM-Hash-Format, das das Passwort in Großbuchstaben umwandelte und es in zwei 7-stellige Chunks aufteilte, die dann gehashed wurden. Wenn Sie ein 15-stelliges Passwort hätten, wäre das egal, weil es nur die ersten 14 Zeichen gespeichert hätte, und es war einfach brutal, da Sie kein 14-stelliges Passwort erzwangen, sondern zwei 7-stellige Passwörter.
Wenn Sie das Bedürfnis haben, laden Sie ein Programm wie John The Ripper oder Cain &Abel( Links zurückgehalten) und testen Sie es.
Ich erinnere mich, dass ich 200.000 Hashes pro Sekunde für einen LM-Hash generieren konnte. Abhängig davon, wie Truecrypt den Hash speichert und ob er von einem gesperrten Volume abgerufen werden kann, könnte dies mehr oder weniger Zeit in Anspruch nehmen.
Brute-Force-Angriffe werden häufig verwendet, wenn der Angreifer eine große Anzahl von Hashes durchlaufen muss. Nach dem Durchlaufen eines gemeinsamen Wörterbuchs fangen sie oft an, Passwörter mit üblichen Brute-Force-Angriffen auszusortieren. Nummerierte Passwörter bis zu zehn, erweiterte alphanumerische, alphanumerische und allgemeine Symbole, alphanumerische und erweiterte Symbole. Je nach Ziel des Angriffs kann es mit unterschiedlichen Erfolgsraten führen. Der Versuch, insbesondere die Sicherheit eines Accounts zu gefährden, ist oft nicht das Ziel.
Ein weiterer Beitrag, Phoshi, erweitert die Idee:
Brute-Force ist praktisch kein brauchbarer Angriff .Wenn der Angreifer nichts über Ihr Passwort weiß, kann er diese Seite des Jahres 2020 nicht durch Gewaltanwendung ersetzen. Das kann sich in Zukunft ändern, wenn die Hardware voranschreitet( Zum Beispiel könnte man alle benutzen, wie viele es haben -Jetzt kernt es auf einem i7 und beschleunigt massiv den Prozess( Noch lange sprechende Jahre)
Wenn du -sich-sicher sein willst, kleben Sie ein Extended-Ascii-Symbol hinein( Alt halten, mit dem Nummernblock eine Zahl eingeben)größer als 255).Das zu tun, stellt ziemlich sicher, dass eine einfache Brute-Force nutzlos ist.
Sie sollten sich über mögliche Fehler im Verschlüsselungsalgorithmus von truecrypt Gedanken machen, die das Finden eines Passworts erleichtern könnten, und natürlich ist das komplexeste Passwort der Welt nutzlos, wenn der Computer, auf dem Sie es verwenden, kompromittiert ist.
Wir würden die Antwort von Phoshi kommentieren, um zu lesen: "Brute-Force ist kein praktikabler Angriff, wenn hochentwickelte Verschlüsselung der aktuellen Generation verwendet wird, so ziemlich immer".
Wie wir in unserem kürzlich erschienenen Artikel Brute-Force Attacks erklärt haben: Wie alle Verschlüsselungen anfällig sind, wie die Verschlüsselungsschemata älter werden und die Leistung der Hardware steigt, ist es nur eine Frage der Zeit, bis es ein hartes Ziel war( wie der Microsoft NTLM Passwortverschlüsselungsalgorithmus)) ist in wenigen Stunden besiegbar.
Haben Sie etwas zur Erklärung hinzuzufügen? Ton in den Kommentaren ab. Möchten Sie mehr Antworten von anderen technisch versierten Stack Exchange Benutzern lesen? Sehen Sie sich den vollständigen Diskussionsfaden hier an.