13Sep

Les mots de passe courts sont-ils vraiment peu sûrs?


Vous connaissez l'exercice: utilisez un mot de passe long et varié, n'utilisez pas le même mot de passe deux fois, utilisez un mot de passe différent pour chaque site. Est-ce que l'utilisation d'un mot de passe court est vraiment dangereuse?
Question d'aujourd'hui &La session de réponse nous est offerte par SuperUser, une subdivision de Stack Exchange, un regroupement communautaire de sites Web Q & A.

La question

SuperUser lecteur user31073 est curieux de savoir s'il devrait vraiment tenir compte de ces avertissements de mot de passe court:

En utilisant des systèmes comme TrueCrypt, quand je dois définir un nouveau mot de passe, je suis souvent informébriser par la force brute.

J'utilise toujours des mots de passe de 8 caractères, qui ne sont pas basés sur des mots du dictionnaire, qui se composent de caractères de l'ensemble A-Z, a-z, 0-9

I.e. J'utilise un mot de passe comme sDvE98f1

A quel point est-il facile de cracker un tel mot de passe par force brute? C'est à dire.à quelle vitesse.

Je sais que cela dépend fortement du matériel mais peut-être que quelqu'un pourrait me donner une estimation combien de temps cela prendrait pour faire cela sur un dual core avec 2GHZ ou autre pour avoir un cadre de référence pour le matériel.

Pour attaquer par force un tel mot de passe, il faut non seulement parcourir toutes les combinaisons, mais aussi essayer de décrypter avec chaque mot de passe supposé qui a aussi besoin de temps.

Aussi, y a-t-il un logiciel à force brute bidouille TrueCrypt parce que je veux essayer de forcer brutalement mon propre mot de passe pour voir combien de temps il faut si c'est vraiment "très facile".

Les mots de passe aléatoires sont-ils vraiment à risque?

La réponse

SuperUser contributeur Josh K. souligne ce que l'attaquant aurait besoin:

Si l'attaquant peut accéder au hachage du mot de passe, il est souvent très facile à force brute car cela implique simplement de hacher les mots de passe jusqu'à ce que les hachages correspondent.

Le "strength" de hachage dépend de la façon dont le mot de passe est stocké.Un hachage MD5 peut prendre moins de temps pour générer un hachage SHA-512.

Windows utilisé( et peut-être encore, je ne sais pas) stocker les mots de passe dans un format de hachage LM, qui en majuscules le mot de passe et le diviser en deux morceaux de 7 caractères qui ont ensuite été hachés. Si vous aviez un mot de passe de 15 caractères cela n'aurait pas d'importance car il ne stockait que les 14 premiers caractères, et il était facile de forcer parce que vous n'étiez pas un forçant un mot de passe de 14 caractères.

Si vous en ressentez le besoin, téléchargez un programme tel que John The Ripper ou Cain &Abel( liens cachés) et testez-le.

Je me rappelle être capable de générer 200 000 hachages par seconde pour un hachage LM.Selon la façon dont Truecrypt stocke le hachage, et s'il peut être récupéré à partir d'un volume verrouillé, cela peut prendre plus ou moins de temps.

Les attaques par force brute sont souvent utilisées lorsque l'attaquant a un grand nombre de hachages à franchir. Après avoir parcouru un dictionnaire commun, ils vont souvent commencer à désherber les mots de passe avec des attaques de force brute communes. Mots de passe numérotés jusqu'à dix, symboles alpha et numériques étendus, symboles alphanumériques et communs, symboles alphanumériques et étendus. Selon le but de l'attaque, il peut mener avec des taux de réussite variables. Tenter de compromettre la sécurité d'un compte en particulier n'est souvent pas l'objectif.

Un autre contributeur, Phoshi développe l'idée:

Brute-Force n'est pas une attaque viable , à peu près jamais. Si l'attaquant ne sait rien de votre mot de passe, il ne l'obtiendra pas par force brute de ce côté de 2020. Cela pourrait changer à l'avenir, au fur et à mesure que le matériel progresse( par exemple, on pourrait utiliser tous lesmaintenant des cœurs sur un i7, accélérant massivement le processus( encore parlant des années, cependant))

Si vous voulez être -super- sécurisé, collez un symbole ascii étendu là-bas( maintenez alt, utilisez le pavé numérique pour taper un nombreplus grand que 255).Le faire à peu près assure qu'une brute force est inutile.

Vous devriez être préoccupé par les failles potentielles dans l'algorithme de chiffrement de truecrypt, qui pourraient faciliter la recherche d'un mot de passe, et bien sûr, le mot de passe le plus complexe au monde est inutile si la machine sur laquelle vous l'utilisez est compromise.

Nous annotons la réponse de Phoshi comme suit: "Brute-force n'est pas une attaque viable, en utilisant un cryptage de génération de courant sophistiqué, presque jamais".

Comme nous l'avons souligné dans notre récent article, Brute-Force Attacks explique: Comment tout cryptage est vulnérable, les schémas de cryptage vieillissent et la puissance matérielle augmente, ce qui n'est qu'une question de temps( avant l'algorithme de cryptage de mot de passe NTLM de Microsoft).) est défaitable en quelques heures.

Avoir quelque chose à ajouter à l'explication? Sonnez dans les commentaires. Vous voulez lire plus de réponses d'autres utilisateurs de Stack Exchange? Découvrez le fil de discussion complet ici.