13Sep
U kent de oefening: gebruik een lang en gevarieerd wachtwoord, gebruik niet tweemaal hetzelfde wachtwoord, gebruik voor elke site een ander wachtwoord. Is het gebruik van een kort wachtwoord echt zo gevaarlijk?
De vraag van vandaag &Antwoord sessie komt naar ons met dank aan SuperUser-een onderverdeling van Stack Exchange, een community-gestuurde groepering van Q & A-websites.
De vraag
SuperUser-lezer user31073 is nieuwsgierig of hij die kort-wachtwoordwaarschuwingen serieus zou moeten nemen:
Gebruikmakend van systemen zoals TrueCrypt, wanneer ik een nieuw wachtwoord moet definiëren, word ik vaak geïnformeerd dat het gebruik van een kort wachtwoord onveilig en "zeer eenvoudig" isbreken door brute kracht.
Ik gebruik altijd wachtwoorden van 8 tekens lang, die niet zijn gebaseerd op woordenboekwoorden, die bestaan uit tekens uit de set A-Z, a-z, 0-9
I.e. Ik gebruik een wachtwoord zoals sDvE98f1
Hoe gemakkelijk is het om zo'n wachtwoord met brute kracht te kraken? D.w.z.hoe snel.
Ik weet dat het sterk afhankelijk is van de hardware, maar misschien kan iemand me een schatting geven hoe lang het zou duren om dit te doen op een dual-core met 2GHZ of wat dan ook om een referentiekader voor de hardware te hebben.
Om zo'n wachtwoord brute kracht aan te vallen, moet je niet alleen alle combinaties doorlopen, maar ook proberen te decoderen met elk geraden wachtwoord dat ook enige tijd nodig heeft.
Ook is er wat software om TrueCrypt met brute-force te hacken, omdat ik wil proberen om mijn eigen wachtwoord brute-force te kraken om te zien hoe lang het duurt als het echt dat "erg gemakkelijk" is.
Zijn korte wachtwoorden van willekeurige tekens echt in gevaar?
Het antwoord
SuperUser-bijdrager Josh K. laat zien wat de aanvaller nodig heeft:
Als de aanvaller toegang kan krijgen tot de wachtwoordhash, is het vaak erg gemakkelijk om brute kracht toe te passen, omdat het hashing-wachtwoorden met zich meebrengt totdat de hashes overeenkomen.
De hash "sterkte" is afhankelijk van hoe het wachtwoord wordt opgeslagen. Een MD5-hash kan minder tijd kosten om vervolgens een SHA-512-hash te genereren.
Windows bewaarde( en kan nog steeds, weet ik het niet) wachtwoorden in een LM-hash-indeling, die het wachtwoord in hoofdletters heeft en opsplit in twee brokken van 7 tekens die vervolgens zijn gehashed. Als je een wachtwoord van 15 tekens had, zou het er niet toe doen, omdat het alleen de eerste 14 tekens bewaarde, en het was gemakkelijk om brute kracht te gebruiken omdat je niet een wachtwoord van 14 karakters bruut dwong, je was bruut dwingend twee 7 karakter wachtwoorden.
Als je de behoefte hebt, download dan een programma zoals John The Ripper of Cain &Abel( links worden ingehouden) en test het.
Ik herinner me dat ik 200.000 hashes per seconde kon genereren voor een LM-hash. Afhankelijk van hoe Truecrypt de hash opslaat en het kan worden opgehaald uit een vergrendeld volume, kan dit meer of minder tijd kosten.
Brute kracht aanvallen worden vaak gebruikt wanneer de aanvaller een groot aantal hashes heeft om doorheen te gaan. Na het doorlopen van een gewoon woordenboek zullen ze vaak beginnen met het wieden van wachtwoorden met gewone brute force-aanvallen. Genummerde wachtwoorden tot tien, uitgebreide alfanumerieke, alfanumerieke en algemene symbolen, alfanumerieke en uitgebreide symbolen. Afhankelijk van het doel van de aanval kan dit leiden met verschillende succespercentages. Poging om de beveiliging van één account in het bijzonder in gevaar te brengen, is vaak niet het doel.
Een andere bijdrager, Phoshi, gaat verder met het idee:
Brute-Force is niet echt een haalbare aanval , vrijwel nooit. Als de aanvaller niets weet over uw wachtwoord, krijgt hij deze kant van 2020 niet brutaal te verwerken. Dit kan in de toekomst veranderen naarmate de hardware vordert( u kunt bijvoorbeeld alle, hoe vaak ook, gebruikennu cores op een i7, massaal versnellen van het proces( hoewel nog steeds praten jaar))
Als u wilt worden -super- veilig, steekt u een extended-ascii-symbool daarin( Houd alt ingedrukt, gebruik het numerieke toetsenblok om een getal in te typengroter dan 255).Door dat te doen, weet je vrijwel zeker dat een gewone brute kracht nutteloos is.
Je zou je zorgen moeten maken over mogelijke fouten in het coderingsalgoritme van truecrypt, wat het vinden van een wachtwoord veel gemakkelijker zou kunnen maken, en natuurlijk is het meest complexe wachtwoord ter wereld nutteloos als de machine waarop je het gebruikt in gevaar wordt gebracht.
We zouden het antwoord van Phoshi als volgt aangeven: "Brute-force is geen levensvatbare aanval, bij het gebruik van geavanceerde huidige generatie-encryptie, vrijwel nooit".
Zoals we in ons recente artikel hebben benadrukt, leggen Brute-Force Attacks Explained uit: Hoe alle versleuteling kwetsbaar is, versleutelingsschema's ouderdom en hardwarevermogen toenemen, dus het is slechts een kwestie van tijd voor wat vroeger een moeilijk doelwit was( zoals Microsoft's NTLM wachtwoordversleutelingsalgoritme) is binnen een paar uur te verslaan.
Heeft u iets toe te voegen aan de uitleg? Geluid uit in de opmerkingen. Wilt u meer antwoorden van andere technisch onderlegde Stack Exchange-gebruikers lezen? Bekijk de volledige discussiethread hier.