13Sep
Você conhece a broca: use uma senha longa e variada, não use a mesma senha duas vezes, use uma senha diferente para cada site. O uso de uma senha curta realmente é perigoso?
Today's Question &A sessão de atendimento chega a cortesia do SuperUser - uma subdivisão do Stack Exchange, um agrupamento comunitário de sites Q & A.
A Pergunta
SuperUser leitor user31073 é curioso se ele deve realmente ouvir esses avisos de senha curta:
Usando sistemas como TrueCrypt, quando eu tenho que definir uma nova senha, eu sou informado que usar uma senha curta é insegura e "muito fácil"para quebrar pela força bruta.
Eu sempre uso senhas de 8 caracteres de comprimento, que não são baseadas em palavras de dicionário, que consistem em caracteres do conjunto A-Z, a-z, 0-9
, isto é,Eu uso senha como sDvE98f1
Como é fácil rachar essa senha por força bruta? Isto é,quão rápido.
Eu sei que isso depende muito do hardware, mas talvez alguém possa me dar uma estimativa quanto tempo demoraria para fazer isso em um núcleo duplo com 2GHZ ou o que fosse para ter um quadro de referência para o hardware.
Para o ataque de força bruta, essa senha precisa não só de percorrer todas as combinações, mas também tentar decodificar com cada senha adivinhada que também precisa de algum tempo.
Além disso, existe algum software para o TrueCrypt da força bruta, porque eu quero tentar quebrar bruto minha senha para ver quanto tempo demora se for realmente "muito fácil".
As senhas de caracteres aleatórios curtos estão realmente em risco?
A Resposta
O colaborador do SuperUser Josh K. ressalta o que o invasor precisaria:
Se o atacante pode ter acesso ao hash da senha, muitas vezes é muito fácil a força bruta, uma vez que simplesmente implica senhas hash até que os hashes correspondam.
O hash "força" depende da forma como a senha está armazenada. Um hash MD5 pode levar menos tempo para gerar um SHA-512 hash.
Windows usado para( e ainda assim, eu não sei) armazenar senhas em um formato de hash LM, que introduziu a senha e dividiu-a em dois blocos de 7 caracteres que foram então esboçados. Se você tivesse uma senha de 15 caracteres, não importaria porque só armazenava os primeiros 14 caracteres, e era fácil a força bruta, porque você não era bruto, forçando uma senha de 14 caracteres, você era uma força bruta com duas senhas de 7 caracteres.
Se você sentir a necessidade, baixe um programa como John The Ripper ou Cain &Abel( links retidos) e teste-o.
Eu lembro de ser capaz de gerar 200.000 hashes por segundo para um hash LM.Dependendo de como o Truecrypt armazena o hash, e se ele pode ser recuperado a partir de um volume bloqueado, pode demorar mais ou menos tempo.
Os ataques de força bruta geralmente são usados quando o atacante tem um grande número de hashes para passar. Depois de executar um dicionário comum, muitas vezes começarão a remover senhas com ataques de força bruta comum. Senhas numeradas até dez símbolos alfa e numéricos, alfanuméricos e comuns, símbolos alfanuméricos e estendidos. Dependendo do objetivo do ataque, ele pode levar com taxas de sucesso variadas. Tentando comprometer a segurança de uma conta em particular, muitas vezes não é o objetivo.
Outro contribuidor, Phoshi expande a idéia:
Brute-Force não é um ataque viável , praticamente nunca. Se o atacante não sabe nada sobre sua senha, ele não está conseguindo isso através da força bruta neste lado de 2020. Isso pode mudar no futuro, à medida que o hardware avança( por exemplo, pode-se usar todos, no entanto, muitos-que-tem-agora núcleos em um i7, acelerando massivamente o processo( Ainda falando anos, no entanto))
Se você deseja ser -super-seguro, coloque um símbolo de ascii estendido lá( Mantenha alt, use o teclado numérico para digitar um númeromaior que 255).Fazer isso garante praticamente que uma força bruta simples é inútil.
Você deve estar preocupado com possíveis falhas no algoritmo de criptografia do truecrypt, o que pode tornar a senha mais fácil e, claro, a senha mais complexa do mundo é inútil se a máquina em que você estiver usando está comprometida.
Anotaremos a resposta de Phoshi para ler "A força-bruta não é um ataque viável, quando se usa criptografia sofisticada de geração atual, praticamente nunca".
Como destacamos em nosso artigo recente, Brute-Force Attacks Explained: Como toda a criptografia é vulnerável, os níveis de criptografia envelhecem e aumentam o poder do hardware por isso é apenas uma questão de tempo antes do que costumava ser um alvo difícil( como o algoritmo de criptografia de senha NTLM da Microsoft) é derrota em questão de horas.
Tem alguma coisa a adicionar à explicação? Som na parte dos comentários. Deseja ler mais respostas de outros usuários Tech-savvy Stack Exchange? Confira o tópico de discussão completo aqui.
