13Sep
Tead külvikut: kasuta pikka ja mitmekesist parooli, ei kasuta sama parooli kaks korda, kasutage iga saidi jaoks teist parooli. Kas kasutate lühikest parooli tõesti ohtlikuks?
tänapäeva küsimus &Vastuste seanss tuleb meile viisakalt SuperUseriga - Q & A veebisaitide kogukonnapõhise grupi Stack Exchange jagunemisest.
Küsimus
SuperUser lugeja user31073 on uudishimulik, kas ta peaks neid lühikese parooli hoiatusi tähelepanelikult silmas pidama:
Süsteemide nagu TrueCrypt kasutamine, kui pean uue parooli määratlema, olen tihti kursis, et lühikese parooli kasutamine on ebaturvaline ja "väga lihtne"purunema jõuga.
Ma kasutan alati pikkusega 8 tähemärki sisaldavaid paroole, mis ei põhine sõnastikusõnadel, mis koosneb tähtedest A-Z, a-z, 0-9
I.e. Ma kasutan parooli, näiteks sDvE98f1
. Kui lihtne on selline parool sellist rütmi jõudu murda? I.e.kui kiiresti.
Ma tean, et see sõltub suuresti riistvarast, aga võib-olla keegi võiks mulle anda hinnangu sellele, kui kaua kulub kahekordne tuum koos 2GHZ-ga või mis tahes riistvara tugiraamistikuga.
Et rünnakute rünnak sellisele paroolile ei vaja mitte ainult kõigi kombinatsioonide tsüklit, vaid ka proovida dekrüpteerida iga mõni parooliga, mis vajab ka aega.
Samuti on olemas mõni tarkvara rütmisjõu hack TrueCrypt, sest ma tahan proovida jõuliselt jõudu crack oma parooli, et näha, kui kaua see kestab, kui see on tõesti "väga lihtne".
Kas rünnakute lühikesed paroolid on tõesti ohustatud?
Vastuse
SuperUseri toetaja Josh K. tõstab esile seda, mida ründaja vajab:
Kui ründaja saab juurdepääsu paroolhäsile, on tihti väga lihtne jõuvõtete kasutamine, kuna see lihtsalt toob kaasa räsitud paroole, kuni räsud sobituvad.
Räsi "tugevus" sõltub sellest, kuidas salasõna salvestatakse. MD5-hash võib võtta vähem aega SHA-512 hash-i loomiseks.
Windows( ja võib-olla ma ei tea) salvesta paroole LM-i hash-vormingus, mis paroolid ületasid ja jagunesid kaheks 7 tähemärgipunktiks, mis seejärel oli räsitud. Kui teil oleks 15-tähemärgiline parool, pole see oluline, sest see salvestas ainult esimesed 14 tähemärki ja seda oli lihtne jõuvõtete tõttu, sest te ei olnud 14 tähemärgi parooliga sundinud sunnitud sunnitud tegema kahe 7-kohalise parooli.
Kui tunnete vajadust, laadige alla selline programm nagu John The Ripper või Cain &Abel( lingid peituvad) ja proovige seda.
ma mäletan, et suudab genereerida 200 000 hashit sekundis LM-i räsi jaoks. Sõltuvalt sellest, kuidas Truecrypt salvestab räsi ja kui seda saab lukustatud helitugevusest, võib see võtta rohkem või vähem aega.
Brute force rünnakuid kasutatakse sageli siis, kui ründaja läbib palju hasheid. Pärast ühist sõnastikku sõites hakkavad sageli parode välja tõrjuma tavaliste jõupingutuste rünnakutega. Numbristatud paroolid kuni kümme, laiendatud alfa- ja numbrilised, tähtnumbrilised ja ühised sümbolid, tähtnumbrilised ja laiendatud sümbolid. Sõltuvalt rünnaku eesmärgist võib see põhjustada erineva edukuse määra. Tihti ei ole eesmärki üritanud ühelgi kontol turvalisust ohustada.
Teine kaasautor, Phoshi laiendab ideed:
Brute-Force ei ole elujõuline rünnak , päris palju kunagi. Kui ründaja ei tea oma parooli midagi, ei saavuta ta seda 2020. aasta poolest jõupingutuste kaudu. See võib tulevikus muutuda, kui riistvara areneb( näiteks võiks kasutada kõiki, kuid-palju-see-on-nüüd südamikud i7-l, mis kiirendab protsessi märkimisväärselt( kuigi ikka veel räägib aastaid))
Kui soovite, et see oleks parem-turvaline, asetage laiendatud ascii sümbol seal( hoia all, kasuta numbrit numbri sisestamisekssuurem kui 255).Seda tehes üsna kindel, et tavaline rütm on jõuetu.
Te peaksite muretsema võimalike vigade pärast truecrypt'i krüpteerimisalgoritmis, mis võib parooli palju lihtsamaks leida ja loomulikult on maailma kõige keerukam parool kasutud, kui masin, mille te kasutate, on ohus.
Me annaksime Phoshi vastuse loetellu lugeda: "Ruttujõu ei ole elujõuline rünnak, kui kasutada praeguse põlvkonna praeguse põlvkonna krüpteerimist päris palju".
Nagu me oma hiljutises artiklis rõhutasime, on Brute-Force Attacks Explained: kuidas kogu krüpteerimine on haavatav, krüpteerimiskavade vanus ja riistvara võimsus suureneb, nii et see on vaid aja küsimus enne seda, kui varem oli raske sihtmärk( nt Microsofti NTLM-i parooli krüpteerimisalgoritm) on mõne tunni jooksul võitmatu.
Kas teil on seletamiseks midagi lisada? Helistage kommentaarides. Kas soovite lugeda rohkem vastuseid teistelt tech-savvy Stack Exchange'i kasutajatelt? Tutvu täieliku arutelu teemaga siit.