13Sep
Znasz ćwiczenie: używaj długiego i zróżnicowanego hasła, nie używaj tego samego hasła dwa razy, użyj innego hasła dla każdej witryny. Czy używanie krótkiego hasła jest naprawdę niebezpieczne?
Dzisiejsze pytanie &Sesja odpowiedzi przychodzi do nas dzięki uprzejmości SuperUser - poddziału Stack Exchange, opartego na społecznościach grupy Q & A.
Pytanie użytkownika
SuperUser user31073 jest ciekawy, czy powinien naprawdę zwrócić uwagę na ostrzeżenia o krótkich hasłach:
Korzystając z systemów takich jak TrueCrypt, kiedy muszę zdefiniować nowe hasło, często jestem informowany, że używanie krótkiego hasła jest niebezpieczne i "bardzo łatwe"przełamać brutalną siłą.
Zawsze używam haseł o długości 8 znaków, które nie są oparte na słowach słownika, który składa się ze znaków z zestawu A-Z, a-z, 0-9
, tj. Używam hasła jak sDvE98f1
Jak łatwo jest złamać takie hasło przez brutalną siłę?To znaczy.jak szybko.
Wiem, że w dużym stopniu zależy to od sprzętu, ale może ktoś mógłby mi dać oszacowanie, ile czasu zajmie zrobienie tego na dwurdzeniowym systemie z 2GHz lub cokolwiek innego, aby uzyskać referencje dla sprzętu.
Aby zaatakować brutalnie takie hasło, trzeba nie tylko przechodzić przez wszystkie kombinacje, ale także próbować odszyfrować każde odgadnięte hasło, które również potrzebuje czasu.
Czy jest jakieś oprogramowanie do brutalnego ataku hackowania TrueCrypt, ponieważ chcę spróbować złamać moje własne hasło, aby sprawdzić, ile czasu zajmuje to, czy jest to naprawdę "bardzo łatwe".
Czy krótkie hasła losowego charakteru są naprawdę zagrożone?
Odpowiedź Autor
SuperUser Josh K. podkreśla, czego atakujący będzie potrzebował:
Jeśli atakujący może uzyskać dostęp do skrótu hasła, często jest bardzo łatwy do złamania, ponieważ zawiera po prostu hash, dopóki nie zostanie dopasowany.
"Moc" hash zależy od sposobu przechowywania hasła. Wartość skrótu MD5 może zająć mniej czasu, aby wygenerować wartość skrótu SHA-512.
Windows używany do( i nadal nie wiem) przechowywania haseł w formacie mieszania LM, który zapisał hasło i podzielił go na dwie części 7-znakowe, które następnie zostały zaszyfrowane. Jeśli miałbyś 15-znakowe hasło, nie miałoby to znaczenia, ponieważ zawierało tylko pierwsze 14 znaków i łatwo było brutalnie wymuszać, ponieważ nie brutalnie wymuszałeś 14-znakowe hasło, brutalnie wymuszałeś dwa 7-znakowe hasła.
Jeśli czujesz taką potrzebę, pobierz program, taki jak John The Ripper lub Cain &Abel( linki wstrzymane) i przetestuj to.
Przypominam, że potrafię wygenerować 200 000 skrótów na sekundę dla skrótu LM.W zależności od tego, w jaki sposób Truecrypt przechowuje hasz, i czy można go odzyskać z zablokowanego woluminu, może to potrwać dłużej lub krócej.
Ataki typu Brute Force są często używane, gdy atakujący ma dużą liczbę skrótów do przejścia. Po uruchomieniu wspólnego słownika często zaczynają wymieniać hasła za pomocą typowych ataków typu brute force. Numerowane hasła do dziesięciu, rozszerzone symbole alfa i numeryczne, alfanumeryczne i wspólne, symbole alfanumeryczne i rozszerzone. W zależności od celu ataku może on prowadzić z różnym wskaźnikiem sukcesu. Próba naruszenia bezpieczeństwa jednego konta w szczególności często nie jest celem.
Kolejny współpracownik, Phoshi, wpada na pomysł:
Brute-Force nie jest realnym atakiem , prawie zawsze. Jeśli atakujący nie wie nic o Twoim haśle, nie przebije go przez tę stronę w 2020 roku. Może się to zmienić w przyszłości, w miarę postępu sprzętu( na przykład, można użyć wszystkich, niezależnie od tego, ile-wiele-ma-teraz rdzenie na i7, znacznie przyspieszające proces( Wciąż mówię latami))
Jeśli chcesz być super-bezpieczny, trzymaj w tym miejscu rozszerzony symbol ascii( przytrzymaj alt, użyj klawiatury numerycznej, aby wpisać cyfręwiększy niż 255).Takie postępowanie zapewnia, że zwykła brutalna siła jest bezużyteczna.
Powinieneś być zaniepokojony potencjalnymi błędami w algorytmie szyfrowania Truecrypt, co może znacznie ułatwić znalezienie hasła, i oczywiście najbardziej skomplikowane hasło na świecie jest bezużyteczne, jeśli komputer, na którym go używasz, jest zagrożony.
Adnotowaliśmy odpowiedź Phoshi, aby przeczytać: "Brute-force nie jest realnym atakiem, kiedy używa się wyrafinowanego szyfrowania prądu, prawie zawsze".
Jak podkreśliliśmy w naszym najnowszym artykule, wyjaśniono ataki Brute-Force: Jak wszystkie szyfrowania są podatne na ataki, schematy szyfrowania starzeją się i zwiększa się moc sprzętu, więc jest to tylko kwestią czasu, zanim zostanie użyty twardy cel( jak algorytm szyfrowania haseł NTLM firmy Microsoft)) można pokonać w ciągu kilku godzin.
Czy chcesz coś dodać do wyjaśnienia? Dźwięk w komentarzach. Chcesz przeczytać więcej odpowiedzi od innych użytkowników Stack Exchange, którzy znają się na technologii? Sprawdź cały wątek dyskusji tutaj.