13Sep
Γνωρίζετε το τρυπάνι: χρησιμοποιήστε έναν μεγάλο και ποικίλο κωδικό πρόσβασης, μην χρησιμοποιείτε τον ίδιο κωδικό δύο φορές, χρησιμοποιήστε διαφορετικό κωδικό πρόσβασης για κάθε τοποθεσία.Χρησιμοποιεί έναν σύντομο κωδικό πρόσβασης πραγματικά τόσο επικίνδυνο;
Η σημερινή ερώτηση &Η συνάντηση απαντήσεων έρχεται με την ευγένεια του SuperUser - μια υποδιαίρεση του Stack Exchange, μια κοινότητα-καθοδηγούμενη ομαδοποίηση Q & A ιστοσελίδες.
Το ερώτημα
reader user31073 είναι περίεργο αν πρέπει πραγματικά να λάβει υπόψη αυτές τις προειδοποιήσεις σύντομων κωδικών πρόσβασης:
Χρησιμοποιώντας συστήματα όπως το TrueCrypt, όταν πρέπει να ορίσω έναν νέο κωδικό, ενημερώνομαι συχνά ότι η χρήση ενός σύντομου κωδικού πρόσβασης είναι ανασφαλής και "πολύ εύκολη"να σπάσει με βίαιη δύναμη.
Χρησιμοποιώ πάντα κωδικούς μήκους 8 χαρακτήρων, οι οποίοι δεν βασίζονται σε λεξικές λέξεις, οι οποίες αποτελούνται από χαρακτήρες από το σύνολο A-Z, a-z, 0-9
I.e.Χρησιμοποιώ τον κωδικό πρόσβασης όπως το sDvE98f1
Πόσο εύκολο είναι να σπάσει έναν τέτοιο κωδικό από την ωμή βία;Π.χ.πόσο γρήγορα.
Ξέρω ότι εξαρτάται σε μεγάλο βαθμό από το υλικό, αλλά ίσως κάποιος θα μπορούσε να μου δώσει μια εκτίμηση πόσο καιρό θα χρειαζόταν για να γίνει αυτό σε ένα διπλό πυρήνα με 2GHZ ή οτιδήποτε άλλο να έχει ένα πλαίσιο αναφοράς για το υλικό.
Για την επίθεση με βίαιες δυνάμεις ένας τέτοιος κωδικός πρόσβασης δεν χρειάζεται μόνο να περιηγηθείτε σε όλους τους συνδυασμούς αλλά επίσης να προσπαθήσετε να αποκρυπτογραφήσετε με κάθε εικαστικό κωδικό που χρειάζεται επίσης κάποιο χρόνο.
Επίσης, υπάρχει κάποιο λογισμικό για να χτυπάει την πραγματική hack TrueCrypt γιατί θέλω να προσπαθήσω να βγάζω βίαιη ρωγμή στον δικό μου κωδικό πρόσβασης για να δω πόσο καιρό παίρνει αν είναι πραγματικά «πολύ εύκολο».
Οι κωδικοί σύντομων τυχαίων χαρακτήρων είναι πραγματικά εκτεθειμένοι σε κίνδυνο;
Ο υπεύθυνος απαντήσεων
SuperUser Josh K. υπογραμμίζει τι θα χρειαστεί ο επιτιθέμενος:
Εάν ο εισβολέας μπορεί να αποκτήσει πρόσβαση στο hash του κωδικού πρόσβασης, είναι συχνά πολύ εύκολη η βίαιη δύναμη, αφού συνεπάγεται απλώς τους κωδικούς εξαφάνισης μέχρι να αντιστοιχιστούν τα hashes.
Η "δύναμη" κατακερματισμού εξαρτάται από τον τρόπο αποθήκευσης του κωδικού πρόσβασης.Ένας hash MD5 μπορεί να πάρει λιγότερο χρόνο για να δημιουργήσει ένα SHA-512 hash.
Τα Windows που χρησιμοποιούνται για να αποθηκεύουν κωδικούς πρόσβασης σε μορφή LM hash( και ίσως ακόμα δεν γνωρίζω), που ξεπερνούν τον κωδικό πρόσβασης και το χωρίζουν σε δύο κομμάτια 7 χαρακτήρων τα οποία στη συνέχεια έχουν χυθεί.Εάν είχατε έναν κωδικό πρόσβασης 15 χαρακτήρων, δεν θα πειράξει γιατί αποθηκεύει μόνο τους πρώτους 14 χαρακτήρες και ήταν εύκολο να βγάλει βίαιη δύναμη, επειδή δεν ήσασταν βίαιοι που ανάγκασαν έναν κωδικό 14 χαρακτήρων, ήσασταν βίαιοι που ανάγκασαν δύο κωδικούς 7 χαρακτήρων.
Αν αισθάνεστε την ανάγκη, κατεβάστε ένα πρόγραμμα όπως το John The Ripper ή το Cain &Abel( σύνδεσμοι παρακρατημένοι) και δοκιμάστε το.
Θυμάμαι να είναι σε θέση να δημιουργήσει 200.000 hashes ένα δευτερόλεπτο για ένα hash LM.Ανάλογα με το πώς το Truecrypt αποθηκεύει το hash και αν μπορεί να ανακτηθεί από κλειδωμένο τόμο, θα μπορούσε να πάρει περισσότερο ή λιγότερο χρόνο.
Οι βίαιες επιθέσεις δύναμης χρησιμοποιούνται συχνά όταν ο εισβολέας έχει μεγάλο αριθμό χαστουκ για να περάσει.Μετά από να τρέξουν σε ένα κοινό λεξικό, θα αρχίσουν συχνά να ξεχυθούν οι κωδικοί πρόσβασης με κοινές επιθέσεις βίας.Αριθμημένοι κωδικοί πρόσβασης έως δέκα, εκτεταμένα άλφα και αριθμητικά, αλφαριθμητικά και κοινά σύμβολα, αλφαριθμητικά και εκτεταμένα σύμβολα.Ανάλογα με το στόχο της επίθεσης μπορεί να οδηγήσει με ποικίλα ποσοστά επιτυχίας.Η προσπάθεια να υπονομευθεί η ασφάλεια ενός λογαριασμού ειδικότερα συχνά δεν είναι ο στόχος.
Ένας άλλος συνεισφέρων, Phoshi επεκτείνεται στην ιδέα:
Brute-Force δεν είναι μια βιώσιμη επίθεση , σχεδόν πάντα.Εάν ο επιτιθέμενος δεν γνωρίζει τίποτα για τον κωδικό πρόσβασής σας, δεν το παίρνει μέσω αυτής της πλευράς του 2020. Αυτό μπορεί να αλλάξει στο μέλλον, καθώς το υλικό προχωράει( Για παράδειγμα, θα μπορούσαμε να χρησιμοποιήσουμε όλα αυτά - πολλά-έχουν-(αν και μιλάτε χρόνια)
Αν θέλετε να είστε πολύ ασφαλείς, κολλήστε ένα σύμβολο εκτεταμένης ασκήσεως( Hold alt, χρησιμοποιήστε το αριθμητικό πληκτρολόγιο για να πληκτρολογήσετε έναν αριθμόμεγαλύτερο από 255).Κάτι τέτοιο βεβαιώνει ότι μια απλή βίαιη δύναμη είναι άχρηστη.
Θα πρέπει να ανησυχείτε για πιθανές ατέλειες στον αλγόριθμο κρυπτογράφησης του truecrypt, ο οποίος θα μπορούσε να καταστήσει πολύ πιο εύκολο τον εντοπισμό του κωδικού πρόσβασης και φυσικά ο πιο πολύπλοκος κωδικός πρόσβασης στον κόσμο είναι άχρηστος εάν το μηχάνημα στο οποίο χρησιμοποιείτε είναι συμβιβασμένο.
Θα σχολιάζαμε την απάντηση του Phoshi για να διαβάσετε "Η βίαιη δύναμη δεν είναι μια βιώσιμη επίθεση, όταν χρησιμοποιείτε κρυπτογράφηση σύγχρονης γενιάς, σχεδόν πάντα".
Όπως υπογραμμίσαμε στο πρόσφατο άρθρο μας, το Brute-Force Attacks εξηγείται: πώς είναι όλα τα κρυπτογράφηση ευάλωτα, αυξάνεται η ηλικία και η ισχύς των συστημάτων κρυπτογράφησης, επομένως είναι μόνο θέμα χρόνου πριν από το σκληρό στόχο( όπως ο αλγόριθμος κρυπτογράφησης κωδικού NTLM της Microsoft) μπορεί να ξεπεραστεί σε λίγες ώρες.
Έχετε κάτι να προσθέσετε στην εξήγηση;Απενεργοποιήστε τα σχόλια.Θέλετε να διαβάσετε περισσότερες απαντήσεις από άλλους χρήστες τεχνολογίας Stack Exchange;Δείτε το πλήρες νήμα συζήτησης εδώ.
