13Sep

Ar trumpi slaptažodžiai tikrai nesaugūs?


Jūs žinote, kaip sėjamoji: naudokite ilgą ir įvairų slaptažodį, du kartus nenaudokite to paties slaptažodžio, naudokite kitą slaptažodį kiekvienai svetainei. Ar tikrai naudojamas trumpas slaptažodis yra pavojingas?
Šiandienos klausimas &Atsakymų sesija ateina pas mus iš "SuperUser" - "Stack Exchange", bendruomenės pagrįstos "Q & A" svetainių grupės pasidalijimo.

Klausimas

SuperUser skaitytojas user31073 yra įdomu, ar jis turėtų iš tikrųjų atsižvelgti į tuos trumpalaikio slaptažodžio įspėjimus:

Naudojant tokias sistemas kaip TrueCrypt, kai turiu nustatyti naują slaptažodį, dažnai manau, kad trumpo slaptažodžio naudojimas yra nesaugus ir "labai lengvas"nutraukti brutalia jėga.

Aš visada naudojau 8 simbolių ilgio slaptažodžius, kurie nėra paremti žodyno žodžiais, kurį sudaro simboliai iš A-Z, a-z, 0-9

I.e. Aš naudoju slaptažodį, pvz., SDvE98f1

. Ar lengva tai sugadinti tokį slaptažodį, kai jis yra brute-force? T.y.kaip greitai.

Aš žinau, kad tai labai priklauso nuo aparatinės įrangos, tačiau galbūt kas nors galėtų man įvertinti, kiek laiko tai reikės dvigubai branduoliui su 2GHZ ar kokiu nors nuoroda į aparatūrą.

Kad brute-force ataka tokiu slaptažodžiu, reikia ne tik pereiti per visas kombinacijas, bet ir pabandyti iššifruoti su kiekvienu prislėgtu slaptažodžiu, kuris taip pat reikalauja šiek tiek laiko.

Taip pat ar yra tam tikros programinės įrangos, kuria "TrueCrypt" užgrobia brutalia galia, nes noriu pabandyti sugadinti savo slaptažodį, norėdami pamatyti, kiek laiko reikia, jei tai tikrai "labai lengva".

Ar trumpi atsitiktinių simbolių slaptažodžiai yra tikrai pavojingi?

Atsakymas

SuperUser autorius Josh K. atkreipia dėmesį į tai, ko užpuolikas reikės:

Jei prieglobstysis gali pasiekti prieigos prie slaptažodžio maišos, dažnai labai lengva padaryti brutalią jėgą, nes tai paprasčiausiai reiškia maišymo slaptažodžius, kol maišos nesutaps.

"maišymo" stiprumas priklauso nuo to, kaip saugomas slaptažodis. MD5 maišai gali užtrukti mažiau laiko, kad būtų sukurtas SHA-512 maišas.

Windows, naudojamas( ir galbūt ir nežinau), saugo slaptažodžius LM hash formatu, kuris viršutine tvarka užrašė slaptažodį ir padalijo jį į du 7 simbolių fragmentus, kurie vėliau buvo maišomi. Jei turėtumėte 15 simbolių slaptažodį, tai nesvarbu, nes ji išsaugojo tik pirmuosius 14 simbolių, ir buvo lengva padaryti brutalią jėgą, nes nebuvo brute užmegztas 14 simbolių slaptažodis, todėl buvo brute priversti du 7 simbolių slaptažodžius.

Jei manote, kad reikia, atsisiųskite tokią programą kaip John The Ripper arba Cain &Abelis( nuoroda sulaikyta) ir patikrinkite.

Aš prisimenu, kad sugeba generuoti 200 000 hashų sekundžių LM maišui. Priklausomai nuo to, kaip Truecrypt saugo maišą, ir jei jį galima išimti iš užrakinto tomo, tai gali užtrukti daugiau ar mažiau laiko.

Brute force attacks yra dažnai naudojami, kai užpuolikas turi daugybę hashų.Pradėjus naudoti bendrą žodyną, jie dažnai pradeda rauginti slaptažodžius, naudodamiesi įprastomis grubios jėgos atakomis. Numeruoti slaptažodžiai iki dešimties, išplėstiniai alfa ir skaitmenys, raidiniai-skaitiniai ir bendrieji simboliai, raidiniai-skaitiniai ir išplėstiniai simboliai. Atsižvelgiant į atakos tikslą, tai gali lemti skirtingus sėkmės rodiklius. Paprastai netinkamas bandymas pažeisti vienos sąskaitos saugumą.

Dar vienas autorius, Phoshi išplečia idėją:

Brute-Force nėra gyvybingas išpuolis , gana daug kada nors. Jei užpuolikas nieko nežino apie savo slaptažodį, jis nesugebės jį pasiekti per brute force šią 2020 m. Pusę. Tai gali pasikeisti ateityje, nes aparatūros pažanga( pvz., Galima naudoti viską, kas yra "daugelis"dabar branduoliai ant i7, žymiai pagreitina procesą( vis tiek kalbame metų, tačiau))

Jei norite būti "over-secure", laikykite ten išplėstinį ascii simbolį( laikykite alt, naudokite numerį, norėdami įvesti numerįdidesnis nei 255).Tai gana daug užtikrina, kad paprastoji brute-force yra nenaudinga.

Turėtumėte susirūpinti dėl galimų "truecrypt" šifravimo algoritmo trūkumų, dėl kurių daug lengviau surasti slaptažodį ir, žinoma, pats sudėtingiausias slaptažodis pasaulyje yra nenaudingas, jei mašina, kurią naudojate, yra pažeista.

Mes norėtume komentuoti Phoshi atsakymą skaityti: "Brute force nėra gyvybingas išpuolis, kai naudojamas sudėtingas dabartinės kartos šifravimas beveik visada".

Kaip mes pabrėžėme mūsų naujausiame straipsnyje, "Brute-Force Attacks" paaiškino: kaip visas šifravimas yra pažeidžiamas, šifravimo schemos amžiaus ir aparatinės įrangos galios padidėjimas, todėl tik laiko klausimas prieš tai, kada būdavo sunkus tikslas( pvz., "Microsoft" NTLM slaptažodžio šifravimo algoritmas) yra nugalėti per kelias valandas.

Ar ką nors įtraukti į paaiškinimą?Garsas išjungtas komentaruose. Norite skaityti daugiau atsakymų iš kitų "Tech-savvy Stack Exchange" vartotojų?Patikrinkite visą diskusijų temą čia.