13Sep

Rövid jelszavak valóban bizonytalanok?


Tudod a fúrót: hosszú és változatos jelszót használj, ne használd ugyanazt a jelszót kétszer, használj más jelszót minden oldalon. Egy valóban veszélyes jelszóval rendelkezik?
A mai kérdés &A válaszüzenet a SuperUser - a Stack Exchange megosztottságának köszönhetően - a Q & A webhelyek közösségi szintű csoportosítása.

A

SuperUser olvasó user31073 kérdése kíváncsi, hogy valóban figyelembe vegye a rövid jelszóval kapcsolatos figyelmeztetéseket:

A TrueCrypt rendszerekkel, amikor új jelszót kell megadnom, gyakran tájékoztatják, hogy a rövid jelszó használata bizonytalan és "nagyon egyszerű"hogy brutális erővel szünetet tartsanak.

Mindig 8 karakter hosszúságú jelszavakat használok, amelyek nem a szótárszavakon alapulnak, ami az A-Z, a-z, 0-9

I.e. Olyan jelszót használok, mint az sDvE98f1

Milyen könnyű ez a jelszó törése a brute force-el? Azaz.milyen gyorsan.

Tudom, hogy erősen függ a hardvertől, de talán valaki megadhat nekem egy becslést, mennyi ideig tart ez a kettős maggal a 2GHZ-vel, vagy bármi legyen is, hogy legyen egy referenciakeret a hardver számára.

Az ilyen jelszóhoz való ugrásszerű támadáshoz nemcsak az összes kombináció közötti ciklusra van szükség, hanem meg kell próbálnunk dekódolni minden olyan találgatással ellátott jelszóval, amely szintén szüksége van egy kis időre.

Szintén létezik olyan szoftver, amellyel a bűnözők kényszeríthetik a TrueCrypt-ot, mert megpróbálom a saját jelszavát felrobbantani, hogy lássam, mennyi ideig tart, ha valóban "nagyon egyszerű".

A rövid véletlenszerű karakteres jelszó valóban veszélyben van?

A válasz

SuperUser-segéd Josh K. rámutat, hogy a támadónak szüksége lesz:

Ha a támadó hozzáférhet a jelszó hashhoz, akkor gyakran nagyon könnyű brute force, mivel egyszerűen csak hashinges jelszavakkal jár, amíg a hasok nem egyeznek.

A hash "ereje" a jelszó tárolásának módjától függ. Az MD5 hash kevesebb időt vehet igénybe az SHA-512 hash létrehozásához.

A Windows( és még mindig nem tudom) tárolja a jelszavakat egy LM hash formátumban, amely felvette a jelszót és két hét karakterből álló darabokra osztotta őket. Ha volt 15 karakteres jelszavad, akkor nem számít, mert csak az első 14 karaktert tárolta, és könnyű volt az erőszakos erő, mert nem volt olyan durva, aki 14 karakteres jelszót kényszerített, két hét karakteres jelszót kényszerítettél.

Ha úgy érzi, szükség van, töltsön le olyan programot, mint John The Ripper vagy Cain &Abel( linkek visszatartva) és teszteljük.

Emlékszem, hogy egy LM hash-ra képesek 200.000 hashajtást előállítani egy másodperc alatt. Attól függően, hogy a Truecrypt hogyan tárolja a hashot, és ha le lehet olvasni egy zárolt kötetről, több vagy kevesebb időt vehet igénybe.

A brute force támadások gyakran akkor használatosak, amikor a támadónak nagy számai vannak a hashajtókkal. Miután átfutott egy közös szótáron, gyakran elkezdte a jelszavakat a közös brute force támadásokkal. Számozott jelszó legfeljebb tíz, kiterjesztett alfa- és numerikus, alfanumerikus és közös szimbólumok, alfanumerikus és kiterjesztett szimbólumok. A támadás céljától függően különböző sikerességi arányokkal járhat. Az egyik fiók biztonságának megakadályozására való törekvés gyakran nem a cél.

Egy másik közreműködő, Phoshi kiterjeszti az ötletet:

A Brute-Force nem életképes támadás , soha többé.Ha a támadó semmit sem tud a jelszóról, akkor nem éri el ezt a határt 2020-ra. Ez a jövőben megváltozhat, mivel a hardver előrehalad.( Például,mostanra az i7-es magok nagymértékben felgyorsítják a folyamatot( Még mindig beszélgető évek)

Ha túl biztonságban akarsz lenni, tegyél be egy kiterjesztett ascii szimbólumot( Hold alt, a numerikus billentyűvel írj be egy számotnagyobb, mint 255).Ez eléggé meggyőződik arról, hogy egy egyszerű brute-force használhatatlan.

Meg kell aggódnia a truecrypt titkosítási algoritmusában rejlő esetleges hibák miatt, ami megkönnyítheti a jelszó megkeresését, és természetesen a világ legösszetettebb jelszava is haszontalan, ha az a gép, amelyet használ, veszélybe kerül.

Észrevettük Phoshi válaszait, hogy olvassuk: "A brute-force nem életképes támadás, ha kifinomult generációs titkosítást használunk, sokat még mindig".

Ahogy a legutóbbi cikkünkben rámutattak, a Brute-Force támadások magyarázata: Az összes titkosítás sértetlensége, a titkosítási rendszerek kora és a hardver teljesítmény növelése, így csak idő kérdése, mielőtt kemény célpont volt( például a Microsoft NTLM jelszó-titkosítási algoritmusa) néhány óra alatt verhetetlen.

Van valami, amit hozzá lehet adni a magyarázathoz? Hangzik ki a megjegyzésekben. Szeretne többet válaszolni a többi technikus-tudós Stack Exchange felhasználóiról? Nézze meg a teljes vitafonalat itt.