13Sep
Jūs zināt drill: izmantojiet garu un daudzveidīgu paroli, neizmantojiet to pašu paroli divas reizes, izmantojiet citu paroli katrai vietnei. Vai īsā parole tiešām ir tik bīstama?
šodienas jautājums &Atbildes sesija mums priecājas par SuperUser - Stack Exchange, kas ir kopienas un Q & A tīmekļa vietņu grupa.
Jautājums
SuperUser lasītājs user31073 ir ziņkārīgs, vai viņam būtu patiešām jāpievērš uzmanība šiem īsajiem paroli brīdinājumiem:
Izmantojot tādas sistēmas kā TrueCrypt, kad man ir jānorāda jauna parole, es bieži informēju, ka, izmantojot īsu paroli, ir nedrošs un "ļoti viegli"izlauzties ar brutālu spēku.
Es vienmēr izmantoju 8 rakstzīmju garas paroles, kas nav balstītas uz vārdnīcas vārdiem, un kuru veido rakstzīmes no komplekta A-Z, a-z, 0-9
I.e. Es izmantoju paroli, piemēram, sDvE98f1
Cik viegli ir salauzt šādu paroli ar brutālu spēku? I.e.cik ātri.
Es zinu, ka tas lielā mērā ir atkarīgs no aparatūras, bet varbūt kāds varētu man novērtēt, cik ilgi tas būtu jādara, lai to izdarītu par divkodolu ar 2GHZ vai neatkarīgi no aparatūras atskaites sistēmas.
Lai uzbruktu brutālu spēku šādai parolei, ir nepieciešams ne tikai aplūkot visas kombinācijas, bet arī mēģināt atšifrēt ar katru nošaujamām parolēm, kurām arī vajadzīgs zināms laiks.
Arī tur ir daži programmatūra brutālu spēku uzlaušanai TrueCrypt, jo es gribu mēģināt brutālu spēku kreka savu paroli, lai redzētu, cik ilgi tas nepieciešams, ja tas tiešām ir, ka "ļoti viegli".
Vai īstermiņa nejaušas rakstzīmes paroles tiešām ir apdraudētas?
Atbilde
SuperUser atbalstītājs Josh K. uzsver, ko uzbrucējs vajadzīgs:
Ja uzbrucējs var piekļūt paroles hash, bieži vien ir ļoti viegli izdarīt brutālu spēku, jo tas vienkārši nozīmē, ka ir jāmaina paroles, līdz maizes tiek saskaņotas.
Hašas "izturība" ir atkarīga no tā, kā tiek saglabāta parole. MD5 hash var aizņemt mazāk laika, lai ģenerētu SHA-512 hash.
Windows, ko izmanto( un, iespējams, vēl nezinu), paroles uzglabā LM hash formātā, kuras lielā parole tika salikta un sadalīta divās 7 rakstzīmju rindiņās, kuras pēc tam tika izlaistas. Ja jums būtu 15 rakstzīmju parole, tas nebūtu svarīgi, jo tajā tika saglabātas tikai pirmās 14 rakstzīmes, un to bija viegli izdarīt brutālu spēku, jo neesat nelietojuši 14 rakstzīmju paroli, un jūs piespiedāt divas 7 rakstzīmju paroles.
Ja jūtat vajadzību, lejupielādējiet tādu programmu kā John The Ripper vai Cain &Abel( saites noņemt) un pārbaudīt to.
Es atceros, ka spēj radīt 200 000 hashes otru par LM hash. Atkarībā no tā, kā Truecrypt saglabā hash, un, ja to var iegūt no bloķēta skaļuma, tas var aizņemt vairāk vai mazāk laika.
Brute force uzbrukumi bieži tiek izmantoti, ja uzbrucējam ir liels skaits hashu. Pēc braukšanas ar kopēju vārdnīcu viņi bieži sāks radzēt paroles, izmantojot parastu brutālu spēku uzbrukumus. Numurētas paroles līdz pat desmit, pagarināts alfabēta un ciparu burtu un ciparu simboli, burtciparu un paplašināti simboli. Atkarībā no uzbrukuma mērķa tas var novest pie dažādiem veiksmes rādītājiem. Centieni sagrozīt vienas konta drošību bieži vien nav mērķis.
Vēl viens ieguldītājs, Phoshi paplašina ideju:
Brute-Force nav dzīvotspējīgs uzbrukums , gandrīz vienmēr. Ja uzbrucējs neko nezina par jūsu paroli, viņš to nesaprot ar šaurāku spēku šajā 2020. gada pusē. Tas var mainīties nākotnē, jo aparatūra attīstās( piemēram, varētu izmantot visu, lai gan daudz-tas-on-tagad serdes par i7, kas ievērojami paātrina procesu( Tomēr joprojām runājam gadus)
Ja jūs vēlaties būt pārāk drošs, turiet tur paplašinātu ascii simbolu( turiet alt, izmantojiet skaitli, lai ievadītu numurulielāks par 255).Tas diezgan lielā mērā nodrošina to, ka vienkāršs brutāls spēks ir bezjēdzīgi.
Jums vajadzētu paust bažas par truecrypt šifrēšanas algoritma iespējamiem trūkumiem, kas varētu atvieglot paroles atrašanu un, protams, vissarežģītākā parole pasaulē ir bezjēdzīga, ja mašīna, kurā to izmantojat, ir apdraudēta.
Mēs varētu komentēt Phoshi atbildi lasīt "Brute force nav dzīvotspējīgs uzbrukums, izmantojot sarežģītu pašreizējās paaudzes šifrēšanu gandrīz vienmēr".
Kā mēs to uzsvērām mūsu nesenajā rakstā, Brute-Force Attacks paskaidrots: kā visa šifrēšana ir neaizsargāta, šifrēšanas shēmas vecums un aparatūras jaudas palielināšana, tāpēc jautājums ir tikai par laiku, kas agrāk bija ciets mērķis( piemēram, Microsoft NTLM paroles šifrēšanas algoritms) ir uzvarams dažu stundu laikā.
Vai kaut kas jāpievieno paskaidrojumam? Skatieties komentāros. Vēlaties lasīt citas atbildes no citiem tehnoloģiju savvy Stack Exchange lietotājiem?Šeit skatiet pilnu diskusiju pavedienu.