13Sep
Anda tahu latihannya: gunakan kata sandi yang panjang dan bervariasi, jangan gunakan kata sandi yang sama dua kali, gunakan kata sandi yang berbeda untuk setiap situs. Apakah menggunakan password singkat yang benar-benar berbahaya?
Pertanyaan Hari Ini &Sesi jawaban datang kepada kami atas izin SuperUser - subdivisi dari Stack Exchange, pengelompokan berbasis komunitas dari Q & A situs web.
Pertanyaan
Pengguna pembaca superuser31073 penasaran apakah dia benar-benar memperhatikan peringatan kata kunci pendek itu:
Menggunakan sistem seperti TrueCrypt, ketika saya harus menentukan kata sandi baru, saya sering diberitahu bahwa menggunakan kata kunci pendek tidak aman dan "sangat mudah"untuk mematahkan dengan brute force
Saya selalu menggunakan kata kunci dengan panjang 8 karakter, yang tidak berdasarkan kata-kata kamus, yang terdiri dari karakter dari himpunan A-Z, a-z, 0-9
I.e. Saya menggunakan password seperti sDvE98f1
Seberapa mudah crack password seperti itu dengan brute force? Yaitu.seberapa cepat.
Aku tahu itu sangat tergantung pada perangkat keras tapi mungkin seseorang bisa memberi saya perkiraan berapa lama waktu yang dibutuhkan untuk melakukan ini pada dual core dengan 2GHz atau apa pun untuk memiliki kerangka acuan untuk perangkat keras.
Untuk serangan brute force seperti kata sandi yang dibutuhkan tidak hanya untuk melakukan siklus melalui semua kombinasi, namun juga mencoba mendekripsi dengan masing-masing kata kunci yang bisa diduga yang juga memerlukan beberapa waktu.
Juga, adakah beberapa perangkat lunak untuk brute force hack TrueCrypt karena saya ingin mencoba brute force crack password saya sendiri untuk melihat berapa lama waktu yang dibutuhkan jika benar-benar "sangat mudah".
Apakah password acak karakter pendek benar-benar berisiko?
Jawaban Superuser
Kontributor Josh K. menyoroti apa yang dibutuhkan penyerang:
Jika penyerang bisa mendapatkan akses ke hash kata sandi, seringkali sangat mudah untuk melakukan kekerasan karena memerlukan kata kunci hashing sampai pertandingan hash berlangsung.
"Kekuatan" hash tergantung pada bagaimana password disimpan. Sebuah hash MD5 mungkin memerlukan sedikit waktu untuk menghasilkan hash SHA-512.
Windows biasa( dan mungkin masih, saya tidak tahu) menyimpan kata sandi dalam format hash LM, yang melengkapi kata kunci dan membaginya menjadi dua potongan 7 karakter yang kemudian digabung. Jika Anda memiliki password 15 karakter, itu tidak masalah karena hanya menyimpan 14 karakter pertama, dan mudah dikenali karena Anda tidak kasar dengan kata sandi 14 karakter, Anda memaksa dua kata sandi karakter sebanyak dua karakter.
Jika Anda merasa perlu, download program seperti John The Ripper atau Cain &Habel( link disembunyikan) dan mengujinya.
Saya ingat bisa menghasilkan 200.000 hash per detik untuk hash LM.Bergantung pada bagaimana Truecrypt menyimpan hash, dan jika bisa diambil dari volume yang terkunci, dibutuhkan waktu yang sedikit banyak. Serangan brute force
sering digunakan saat penyerang memiliki sejumlah besar hash untuk dilewati. Setelah melewati kamus umum, mereka sering mulai menyiram kata sandi dengan serangan brute force biasa. Kata sandi bernomor hingga sepuluh, simbol alfa dan numerik, alfanumerik dan simbol yang diperluas, simbol alfanumerik dan perluasan. Bergantung pada tujuan serangan, hal itu dapat menyebabkan tingkat keberhasilan yang berbeda-beda. Mencoba untuk kompromi keamanan satu akun pada khususnya seringkali bukan tujuannya.
Kontributor lain, Phoshi memperluas gagasan:
Brute-Force bukanlah serangan yang layak, yang hampir pernah ada. Jika penyerang tidak tahu apa-apa tentang kata sandi Anda, dia tidak akan mendapatkannya melalui kekuatan kasar pada sisi 2020 ini. Hal ini dapat berubah di masa depan, karena kemajuan perangkat keras( Misalnya, orang bisa menggunakan semua namun-banyak-itu-memiliki-Sekarang inti pada sebuah i7, secara besar-besaran mempercepat prosesnya( Masih berbicara bertahun-tahun, meskipun))
Jika Anda ingin menjadi lebih aman, tempelkan simbol extended-ascii di sana( Tahan alt, gunakan numpad untuk mengetikkan angkalebih besar dari 255).Melakukan hal itu cukup meyakinkan bahwa kekuatan brutal tidak ada gunanya.
Anda harus memperhatikan kekurangan potensial dalam algoritma enkripsi truecrypt, yang bisa membuat kata kunci jauh lebih mudah, dan tentu saja, kata sandi yang paling rumit di dunia tidak ada gunanya jika mesin yang Anda gunakan itu terganggu.
Kami akan membubuhi keterangan jawaban Phoshi untuk membaca "Brute-force bukan serangan yang layak, saat menggunakan enkripsi generasi terkini yang canggih, cukup banyak yang pernah ada".
Seperti yang telah kami bahas dalam artikel terbaru kami, Brute-Force Attacks Dijelaskan: Bagaimana Semua Enkripsi Rentan, skema enkripsi usia dan kekuatan perangkat keras meningkat sehingga hanya masalah waktu sebelum apa yang dulu menjadi sasaran keras( seperti algoritma enkripsi kata kunci Microsoft NTLM) bisa diatasi dalam hitungan jam.
Punya sesuatu untuk ditambahkan ke penjelasan? Terdengar dalam komentar. Ingin membaca lebih banyak jawaban dari pengguna Stack Exchange tech-savvy lainnya? Simak thread diskusi selengkapnya disini.