13Sep
Du kjenner boret: bruk et langt og variert passord, ikke bruk samme passord to ganger, bruk et annet passord for hvert nettsted. Bruker du et kort passord virkelig så farlig?
Dagens Spørsmål &Svar-sesjon kommer til oss med høflighet av SuperUser-en underavdeling av Stack Exchange, en fellesskapsdrevet gruppering av Q & A-nettsteder.
Spørsmålet
SuperUser-leser user31073 er nysgjerrig på om han virkelig bør ivareta disse kortvarselvarslene:
Ved å bruke systemer som TrueCrypt, når jeg må definere et nytt passord, blir jeg ofte informert om at det er usikkert og "veldig enkelt"å bryte med brute-force.
Jeg bruker alltid passord med 8 tegn i lengden, som ikke er basert på ordlisteord, som består av tegn fra settet A-Z, a-z, 0-9
I.e. Jeg bruker passord som sDvE98f1
Hvor lett er det å spre et slikt passord med brute-force? Dvs.hvor fort.
Jeg vet at det er tungt avhengig av maskinvaren, men kanskje noen kunne gi meg et estimat hvor lenge det ville ta å gjøre dette på en dobbel kjerne med 2GHz eller hva som helst for å ha en referanseramme for maskinvaren.
For å brute-force angripe et slikt passord, trenger man ikke bare å sykle gjennom alle kombinasjoner, men også prøve å dekryptere med hvert gjettet passord som også trenger litt tid.
Er det også noen programvare for å brute-force hack TrueCrypt fordi jeg vil prøve å brute-force sprekk mitt eget passord for å se hvor lang tid det tar hvis det egentlig er så "veldig enkelt".
Er korte tilfeldige tegn passord virkelig i fare?
Svar
SuperUser-bidragsyter Josh K. fremhever hva angriperen vil trenge:
Hvis angriperen kan få tilgang til passord hash, er det ofte veldig enkelt å brute force, siden det bare innebærer hashing-passord før hashene samsvarer.
Hash-styrken er avhengig av hvordan passordet er lagret. En MD5-hash kan ta mindre tid å generere enn en SHA-512 hash.
Windows pleide å( og kan likevel ikke, jeg vet ikke) lagre passord i et LM hash-format, som opplyste passordet og splitt det i to 7-tegnsbiter som da ble kuttet. Hvis du hadde et 15 tegn passord, ville det ikke være noe som skyldes at det bare lagret de første 14 tegnene, og det var lett å brute force fordi du ikke var brute tvinge et 14 tegn passord, du var brutt tvunget to 7 tegn passord.
Hvis du føler behov, last ned et program som John The Ripper eller Cain &Abel( koblinger holdt tilbake) og test det.
Jeg husker å kunne generere 200.000 hashene en sekund for en LM hash. Avhengig av hvordan Truecrypt lagrer hash, og hvis det kan hentes fra et låst volum, kan det ta mer eller mindre tid.
Brutte kraftangrep brukes ofte når angriperen har et stort antall hashes for å gå gjennom. Etter å ha kjørt gjennom en felles ordbok begynner de ofte å luke passord ut med vanlige brute force angrep. Nummererte passord opptil ti, utvidede alfa og numeriske, alfanumeriske og vanlige symboler, alfanumeriske og utvidede symboler. Avhengig av målet for angrepet kan det føre til varierende suksessrate. Forsøk på å kompromittere sikkerheten til en konto spesielt er ofte ikke målet.
En annen bidragsyter, Phoshi utvider seg på ideen:
Brute-Force er ikke et levedyktig angrep , ganske mye noensinne. Hvis angriperen ikke vet noe om passordet ditt, får han det ikke gjennom brute-force denne siden av 2020. Dette kan endres i fremtiden, ettersom maskinvareforbedringer( For eksempel kan man bruke alle men-mange-det-har-nå kjerner på en i7, massivt påskynde prosessen( Fortsatt snakkende år, skjønt))
Hvis du vil være sikker, hold et utvidet ascii-symbol der inne( Hold alt, bruk talltastene til å skrive inn et nummerstørre enn 255).Å gjøre det ganske mye sikrer at en vanlig brute-kraft er ubrukelig.
Du bør være bekymret for potensielle feil i truecrypts krypteringsalgoritme, noe som kan gjøre det enklere å finne et passord, og selvfølgelig er det mest komplekse passordet i verden ubrukelig dersom maskinen du bruker den på, er kompromittert.
Vi vil annotere Phoshi svar for å lese "Brute-Force er ikke et levedyktig angrep, når du bruker sofistikert nåværende generasjon kryptering, ganske mye noensinne".
Som vi fremhevet i vår siste artikkel, forklarer Brute-Force Attacks: Hvordan all kryptering er utsatt, krypteringssystemer alder og maskinvare kraft øker, så det er bare et spørsmål om tid før det pleide å være et hardt mål( som Microsofts NTLM passord krypteringsalgoritme) er uoverkommelig om noen timer.
Har du noe å legge til forklaringen? Lyde av i kommentarene. Vil du lese flere svar fra andre tech-savvy Stack Exchange-brukere? Sjekk ut hele diskusjonstråden her.