האם סיסמאות קצרות באמת לא בטוח?

אתה מכיר את התרגיל: השתמש בסיסמה ארוכה ומגונית, אל תשתמש באותה סיסמה פעמיים, השתמש בסיסמה אחרת עבור כל אתר.האם משתמש בסיסמה קצרה באמת מסוכן?
שאלה של היום &מפגש תשובה מגיע אלינו באדיבות SuperUser - חלוקה של סטאק שערי, קהילה מונחה קיבוץ של Q & אתרי אינטרנט.

השאלה

SuperUser הקורא user31073 הוא סקרן אם הוא באמת צריך לשים לב אלה אזהרות הסיסמה הקצרה:

באמצעות מערכות כמו TrueCrypt, כאשר אני צריך להגדיר סיסמה חדשה אני לעתים קרובות הודיע ​​כי באמצעות סיסמה קצרה היא חסרת ביטחון "קל מאוד"לשבור בכוח פראי.

אני תמיד משתמש בסיסמאות של 8 תווים באורך, שאינן מבוססות על מילים במילון, אשר מורכב תווים מתוך קבוצה A-Z, a-z, 0-9

I.e.אני משתמש בסיסמה כמו sDvE98f1

כמה קל לפצח סיסמה כזו בכוח פראי?כְּלוֹמַר.כמה מהר.

אני יודע את זה בכבדות תלוי בחומרה אבל אולי מישהו יכול לתת לי הערכה כמה זמן זה ייקח לעשות את זה על ליבה כפולה עם 2GHZ או מה שיהיה מסגרת התייחסות של החומרה.

כדי התקפות כוח הזרוע כגון סיסמה אחת צריכה לא רק כדי לעבור את כל השילובים, אלא גם לנסות לפענח עם כל סיסמה מנחששת שגם צריך קצת זמן.

כמו כן, האם יש כמה תוכנות כדי כוח פראי TrueCrypt גרזן כי אני רוצה לנסות כוח פראי לפצח את הסיסמה שלי כדי לראות כמה זמן זה לוקח אם זה באמת כי "קל מאוד".

האם סיסמאות קצרות-תווים אקראיות באמת נמצאות בסיכון?

תשובה

SuperUser תורם ג 'וש ק מדגיש מה התוקף היה צריך:

אם התוקף יכול לקבל גישה hash הסיסמה היא לעתים קרובות קל מאוד כוח הזרוע מאז זה פשוט כרוך סיסמאות hashing עד התאמה hashes.

"חשיש" חשיש תלוי איך הסיסמה מאוחסנת.חשיש MD5 עלול לקחת פחות זמן כדי ליצור אז חשיש SHA-512.

Windows נהג( ואולי עדיין, אני לא יודע) לאחסן סיסמאות בפורמט LM hash, אשר uppercased את הסיסמה ולפצל אותו לשני גושים 7 תווים שהיו לאחר מכן hashed.אם היה לך סיסמה 15 תווים זה לא היה משנה כי זה רק לאחסן את 14 התווים הראשונים, וזה היה קל כוח הזרוע כי אתה לא היה אכזרי לאלץ סיסמה 14 תווים, היית מכריח לאלץ שתי סיסמאות 7 תווים.

אם אתה מרגיש את הצורך, להוריד תוכנית כגון ג 'ון המרטש או קין &הבל( קישורים מנוגדים) ולבדוק את זה.

אני זוכר להיות מסוגל לייצר 200,000 hashes השני עבור חשיש LM.תלוי איך Truecrypt מאחסן את hash, ואם זה ניתן לאחזר מנעול נעול, זה יכול לקחת פחות או יותר זמן.

התקפות כוח הזרוע משמשים לעתים קרובות כאשר התוקף יש מספר גדול של hashes לעבור.לאחר ריצה באמצעות מילון משותף הם לעתים קרובות להתחיל לנכש סיסמאות החוצה עם התקפות כוח פראי משותף.סיסמאות ממוספרות עד עשר, מורחבות אלפא ומספריות, סמלים אלפאנומריים וסמלים נפוצים, סמלים אלפאנומריים ומורחבים.בהתאם למטרה של ההתקפה זה יכול להוביל עם שיעורי הצלחה משתנים.נסיון לסכן את הביטחון של חשבון מסוים בפרט הוא לעתים קרובות לא המטרה.

תורם נוסף, Phoshi מתרחב על הרעיון:

כוח הזרוע אינו התקפה קיימא , די הרבה אי פעם.אם התוקף לא יודע דבר על הסיסמה שלך, הוא לא מקבל את זה באמצעות כוח פראי זה צד של 2020. זה עשוי להשתנות בעתיד, כמו ההתקדמות חומרה( לדוגמה, אפשר להשתמש בכל זאת עם רבים- it- יש-עכשיו ליבות על i7, מאסיבי להאיץ את התהליך( עדיין מדבר שנים, אם כי))

אם אתה רוצה להיות בטוח יותר, מקל סמל המורחבת ascii שם( להחזיק Alt, להשתמש numpad להקליד מספרגדול מ 255).עושה את זה די הרבה מבטיח כי כוח הזרוע רגיל הוא חסר תועלת.

אתה צריך להיות מודאג לגבי פגמים פוטנציאליים של אלגוריתם ההצפנה של truecrypt, אשר יכול להפוך את הסיסמה הרבה יותר קל, וכמובן, את הסיסמה המורכבת ביותר בעולם הוא חסר תועלת אם המכשיר אתה משתמש בו הוא בסכנה.

היינו מוסיפים את התשובה של Phoshi לקריאה "כוח הזרוע אינו מתקפה בת קיימא, כאשר משתמשים בהצפנה מתוחכמת של הדור הנוכחי, די הרבה".

כפי שהודגש במאמר האחרון שלנו, התקפות כוח חוצפן המוסבר: כיצד כל הצפנה פגיע, גיליונות הצפנה גילוח כוח החומרה להגדיל כך שזה רק עניין של זמן לפני מה שהיה בעבר יעד קשה( כמו אלגוריתם ההצפנה של NTLM הסיסמה של מיקרוסופט) הוא להביס בתוך כמה שעות.

יש מה להוסיף להסבר?נשמע את ההערות.רוצה לקרוא תשובות נוספות ממשתמשים אחרים בעלי ידע טכנולוגי?בדוק את נושא הדיון המלא כאן.