13Sep
Conosci il trapano: usa una password lunga e variegata, non usare la stessa password due volte, usa una password diversa per ogni sito. Usare una password breve è davvero pericoloso?
Today's Question &La sessione di risposta ci viene fornita per gentile concessione di SuperUser, una suddivisione di Stack Exchange, un raggruppamento di Q & A basato su community.
La domanda
SuperUser reader user31073 è curiosa di sapere se dovrebbe prestare attenzione a quegli avvertimenti con password breve:
Utilizzando sistemi come TrueCrypt, quando devo definire una nuova password mi viene spesso comunicato che l'uso di una password corta non è sicuro e "molto facile"rompere con la forza bruta.
Uso sempre password di lunghezza pari a 8 caratteri, che non sono basate su parole del dizionario, che sono costituite da caratteri dal set A-Z, a-z, 0-9
I.e. Uso la password come sDvE98f1
Quanto è facile rompere tale password con la forza bruta? Cioèquanto velocemente.
So che dipende molto dall'hardware ma forse qualcuno potrebbe darmi una stima di quanto tempo ci vorrebbe per farlo su un dual core con 2GHZ o qualsiasi altra cosa per avere un frame di riferimento per l'hardware.
Per attacco a forza bruta una password di questo tipo ha bisogno non solo di scorrere tutte le combinazioni, ma anche provare a decodificare con ogni password indovinata che richiede anche un po 'di tempo.
Inoltre, c'è un software per la codifica TrueCrypt, perché voglio provare a forzare la mia password per vedere quanto tempo ci vuole se è davvero così "facile".
Le password corte a caratteri casuali sono realmente a rischio?
La risposta
Il collaboratore di SuperUser Josh K. mette in evidenza ciò di cui l'aggressore avrebbe bisogno:
Se l'utente malintenzionato può accedere all'hash della password, è spesso molto semplice da usare perché ha semplicemente password di hashing finché gli hash non corrispondono.
La "forza" dell'hash dipende da come viene memorizzata la password. Un hash MD5 potrebbe impiegare meno tempo per generare un hash SHA-512.
Windows utilizzato( e potrebbe ancora, non so) memorizza le password in un formato hash LM, che ha scalzato la password e divisa in due blocchi di 7 caratteri che sono stati quindi sottoposti a hash. Se avessi una password di 15 caratteri non avrebbe importanza perché memorizzava solo i primi 14 caratteri, ed era facile da usare per forza bruta perché non stavi forzando una password di 14 caratteri, sei stato brutale costringendo due password di 7 caratteri.
Se ne senti la necessità, scarica un programma come John The Ripper o Cain &Abel( link nascosti) e testarlo.
Ricordo di essere riuscito a generare 200.000 hash al secondo per un hash LM.A seconda di come TrueCrypt memorizza l'hash, e se può essere recuperato da un volume bloccato, potrebbe richiedere più o meno tempo.
Gli attacchi di forza bruta sono spesso usati quando l'attaccante ha un numero elevato di hash da attraversare. Dopo aver eseguito un dizionario comune, spesso inizieranno a estirpare le password con comuni attacchi di forza bruta. Password numerate fino a dieci, simboli alfa e numerici, alfanumerici e comuni, simboli alfanumerici e estesi. A seconda dell'obiettivo dell'attacco, può portare a diverse percentuali di successo. Il tentativo di compromettere la sicurezza di un account in particolare spesso non è l'obiettivo.
Un altro contributore, Phoshi espande l'idea:
Brute-Force non è un attacco praticabile , praticamente mai. Se l'utente malintenzionato non sa nulla della tua password, non riuscirà a sfruttare questa forza bruta da questa parte del 2020. Ciò potrebbe cambiare in futuro, con l'avanzare dell'hardware( ad esempio, si potrebbe usare tutto, tuttavia, molti-ha-ha-ora si basa su un i7, velocizzando enormemente il processo( Ancora parlando di anni, però))
Se si desidera essere -super-secure, inserire un simbolo esteso-ascii( tenere premuto alt, utilizzare il tastierino numerico per digitare un numeromaggiore di 255).In questo modo è praticamente impossibile che una semplice forza bruta sia inutile.
Dovresti preoccuparti dei potenziali difetti nell'algoritmo di crittografia di TrueCrypt, che potrebbe rendere la ricerca di una password molto più semplice e, naturalmente, la password più complessa del mondo è inutile se la macchina su cui stai usando è compromessa.
Annotremmo la risposta di Phoshi alla lettura "La forza bruta non è un attacco praticabile, quando si utilizza una sofisticata crittografia di generazione attuale, praticamente mai".
Come evidenziato nel nostro recente articolo, Spiega attacchi Brute-Force: Come tutta la crittografia è vulnerabile, gli schemi di crittografia invecchiano e aumenta la potenza dell'hardware quindi è solo una questione di tempo prima di quello che era un obiettivo difficile( come l'algoritmo di crittografia password NTLM di Microsoft) è deforestabile in poche ore.
Hai qualcosa da aggiungere alla spiegazione? Sound off nei commenti. Vuoi leggere più risposte dagli altri utenti di Stack Exchange esperti di tecnologia? Controlla la discussione completa qui.