13Sep

Ovatko lyhyet salasanat todella epävarmoja?


Tiedät porauksen: käytä pitkää ja monipuolista salasanaa, älä käytä samaa salasanaa kahdesti, käytä eri salasanaa jokaiselle sivustolle. Käyttääkö lyhyt salasana todella vaarallista?
Päivän kysymys &Vastausistunto tulee meille kohteliaasti SuperUser-osastoon Stack Exchange, yhteisöllinen ryhmittely Q & A verkkosivuilla.

Kysymys

SuperUser-lukija user31073 on utelias, pitäisikö hän todella huomioida nämä lyhytsanoman varoitukset:

Jos käytät TrueCrypt-järjestelmää, kun määritän uuden salasanan, minulle ilmoitetaan usein, että lyhyt salasana on epäselvä ja "erittäin helppo"rikkoa raakajohto.

Käytän aina 8 merkin pituisia salasanoja, jotka eivät perustu sanakirjojen sanoihin, jotka koostuvat A-Z, a-z, 0-9

I.e. Käytän salasanaa, kuten sDvE98f1

Kuinka helppoa on salata tällainen salasana raa'alla voimalla? Toisin sanoenkuinka nopeasti.

Tiedän, että se riippuu voimakkaasti laitteistosta, mutta ehkä joku voisi antaa minulle arvion kuinka kauan se kestää tehdä tämän kahden ytimen kanssa 2GHZ tai mitä tahansa on viitekehys laitteisto.

Tällaisen salasanan hyökkäys hyökkäykseen ei tarvitse vain selata kaikkia yhdistelmiä vaan myös yrittää purkaa jokaisen arvailun salasanan, joka tarvitsee myös jonkin aikaa.

Lisäksi on olemassa joitakin ohjelmistoja, jotka tekevät raakaa voimaa hakemaan TrueCryptia, koska haluan yrittää raa'at voimaa halki oma salasanani nähdäksesi kuinka kauan kestää, jos se on todella "erittäin helppoa".

Ovatko lyhyet satunnainen-merkki-salasanat todella vaarassa?

Vastaus

SuperUser-avustaja Josh K. korostaa, mitä hyökkääjä tarvitsisi:

Jos hyökkääjä voi päästä käsiksi salasanan hash: iin, on usein erittäin helppoa raa'aa voimaa, koska se sisältää yksinkertaisesti haukkojen salasanoja, kunnes haasteet vastaavat.

Hajautuksen "vahvuus" riippuu salasanan tallentamisesta. MD5-hajautus voi kestää vähemmän aikaa tuottaa sitten SHA-512-hajautus.

Windows käyttää( ja voi silti, en tiedä) tallentaa salasanoja LM hash -muodossa, joka suurensi salasanan ja jakoi sen kahteen 7 merkkiseen osaan, jotka sitten hajotettiin. Jos sinulla oli 15 merkin salasana, sillä ei olisi väliä, koska se tallensi vain ensimmäiset 14 merkkiä ja se oli helppo herättää voimaa, koska et ollut kovin pakotettu 14-merkkisen salasanan ansiosta.

Jos tunnet tarvetta, lataa ohjelma, kuten John The Ripper tai Cain &Abel( linkit pidätetään) ja testaa se.

Muistan, että voin tuottaa 200 000 leikkausta sekunnissa LM-hajauttamiselle. Riippuen siitä, miten Truecrypt tallentaa hajautuksen, ja jos se voidaan hakea lukitusta tilavuudesta, se voi kestää enemmän tai vähemmän aikaa.

Brute force hyökkäyksiä käytetään usein silloin, kun hyökkääjällä on suuri määrä hashkoja läpi. Kun kulkevat yhteisen sanaston läpi, he alkavat usein hiirellä salasanoja yhteisten raa'at hyökkäysten avulla. Numeroidut salasanat enintään kymmeneen, laajennettuihin alfa- ja numeerisiin, aakkosnumeerisiin ja yleisiin symboleihin, aakkosnumeerisiin ja laajennettuihin symboleihin. Hyökkäyksen tavoitteesta riippuen se voi johtaa vaihtelevalla menestysasteella. Tavoitteena ei ole useinkaan pyrkiä estämään tietyn tilin turvallisuutta etenkään.

Toinen avustaja, Phoshi laajenee ajatukseen:

Brute-Force ei ole elinkelpoinen hyökkäys , melko koskaan koskaan. Jos hyökkääjä ei ole tietoinen salasanallasi, hän ei saa sitä läpi raa'alla voimalla tämän vuoden 2020 puolella. Tämä voi muuttua tulevaisuudessa, kun laitteisto etenee( Esimerkiksi voisi käyttää kaikkia kuitenkin-monia-se-has-nyt ytimet i7: llä, mikä nopeuttaa prosessia voimakkaasti( vielä puhuvat vuodet)

Jos haluat olla - super-turvallinen, pidä laajennetun ascii-symboli siellä( pidä alt, näppäile numeronäppäintä kirjoittaaksesi numeronsuurempi kuin 255).Se tekee melko paljon varmasti, että tavallinen raa'at voima on hyödytöntä.

Sinun pitäisi olla huolissaan mahdollisista virheistä, jotka ovat väärennetyissä roskapostin salausalgoritmeissa, mikä voisi helpottaa salasanan löytämistä ja tietenkin monimutkaisimmasta salasanasta maailmassa on hyödytöntä, jos kone, jota käytät, on vaarantunut.

Merkitsisimme Phoshin vastauksen lukemaan "Brute-force ei ole elinkelpoinen hyökkäys, kun käytät hienostunutta nykyisen sukupolven salausta melko kauan".

Kuten korostimme tuoreessa artikkelissamme, Brute-Force Attacks Explained: Miten kaikki salaus on haavoittuva, salausohjelmat ikä ja laitteisto teho nousee, joten se on vain ajankohta, ennen kuin se oli kova tavoite( kuten Microsoftin NTLM-salasanan salausalgoritmi) on tuhoutuva muutamassa tunnissa.

Onko jotain lisättävä selitykseen? Kuulkaa kommentit. Haluatko lukea lisää vastauksia muilta tech-tajuilta Stack Exchange-käyttäjiltä?Katso koko keskusteluketju täältä.