13Sep
Cunoașteți antrenamentul: utilizați o parolă lungă și variată, nu utilizați aceeași parolă de două ori, utilizați o parolă diferită pentru fiecare site. Folosește o parolă scurtă cu adevărat periculoasă?
Întrebarea de astăzi &Sesiunea de răspuns vine de la amabilitatea SuperUser - o subdiviziune a Stack Exchange, o grupare bazată pe comunitate a site-urilor web Q & A.
Întrebarea
cititorul de utilizatori SuperUser user31073 este curios dacă ar trebui să țină seama cu atenție de avertismentele cu parolă scurtă:
Utilizând sisteme precum TrueCrypt, când trebuie să definim o nouă parolă, sunt adesea informat că utilizarea unei parole scurte este nesigură și "foarte ușoară"să spargă prin forță brută.
Întotdeauna folosesc parole de lungime de 8 caractere, care nu se bazează pe cuvinte ale dicționarului, care constă din caractere din setul A-Z, a-z, 0-9
I.e. Eu folosesc parola ca sdvE98f1
Cât de ușor este să spargi o astfel de parolă prin forță brută?I.E.cât de repede.
Știu că depinde foarte mult de hardware-ul, dar poate cineva ar putea să-mi dea o estimare cât timp ar dura pentru a face acest lucru pe un dual core cu 2GHZ sau orice altceva de a avea un cadru de referință pentru hardware-ul.
Pentru a ataca o forță brute, o astfel de parolă are nevoie nu numai de a trece prin toate combinațiile, ci și de a decripta cu fiecare parolă ghicită, care are de asemenea nevoie de ceva timp.
De asemenea, există software-ul pentru a forța hărțuirea TrueCrypt, deoarece vreau să încerc să-mi forțez mașina să-mi spargă parola pentru a vedea cât timp durează dacă este într-adevăr "foarte ușor".
Sunt parolele de caractere aleatoare scurte într-adevăr la risc?
Răspunsul
Contribuitorul SuperUser Josh K. evidențiază ce ar avea nevoie atacatorul:
Dacă atacatorul poate obține acces la hash-ul parolei, este adesea foarte ușor să forțați brute, deoarece implică pur și simplu parole de hash până la potrivirea hashes.
"Forța" de tip hash depinde de modul în care este stocată parola. Un hash de MD5 poate dura mai puțin timp pentru a genera un șah SHA-512.
Windows-ul folosit pentru( și poate încă, nu știu) stochează parole într-un format hash LM, care a ridicat parola și a împărțit-o în două bucăți de 7 caractere care au fost apoi rulate. Dacă ai avea o parolă de 15 caractere, nu ar conta pentru că a păstrat doar primele 14 caractere și a fost ușor să forțezi forța pentru că nu ai fost forțată să forțezi o parolă de 14 caractere, ai fost forțată să forțezi două parole de 7 caractere.
Dacă simțiți nevoia, descărcați un program precum John The Ripper sau Cain &Abel( link-uri reținute) și testați-l.
Îmi aduc aminte că pot genera 200.000 hash-uri pe secundă pentru un hash LM.În funcție de modul în care Truecrypt stochează hash-ul și dacă poate fi preluat dintr-un volum blocat, ar putea dura mai mult sau mai puțin timp.
Atacurile de forță brute sunt adesea folosite atunci când atacatorul are un număr mare de hashes pentru a trece prin. După ce se rulează printr-un dicționar comun, adesea vor începe să paroleze parolele cu atacuri de forță brutale comune. Parole numerotate până la zece, alfa și numerice alfanumerice, simboluri comune, alfanumerice și simboluri extinse.În funcție de scopul atacului, acesta poate conduce cu rate diferite de succes.Încercarea de a compromite securitatea unui cont, în special, nu este adesea scopul.
Un alt contribuabil, Phoshi, se extinde pe ideea:
Brute-Force nu este un atac viabil , destul de mult.În cazul în care atacatorul nu știe nimic despre parola dvs., el nu o primește prin forța brute a acestei părți a anului 2020. Aceasta se poate schimba în viitor, pe măsură ce hardware-ul avansează( De exemplu, s-ar putea folosi totuși toate - multe -acum pe un i7, accelerarea masivă a procesului( totuși, ani de vorbire,)
Dacă doriți să fiți -super-securizat, lipiți un simbol extins-ascii acolo( Țineți altul, utilizați numpad pentru a tasta într-un numărmai mare de 255).Făcând asta, se asigură că o forță bruta simplă este inutilă.
Ar trebui să fii preocupat de potențialele erori ale algoritmului de criptare al truecrypt, care ar putea face mult mai ușor să găsești o parolă și, bineînțeles, cea mai complexă parolă din lume este inutilă dacă mașina pe care o folosești este compromisă.
Am fi adnotat răspunsul lui Phoshi la citirea lui "Forța brută nu este un atac viabil, atunci când se utilizează criptarea generalizată a generațiilor actuale, aproape oricând".
Așa cum am subliniat în ultimul nostru articol, atacurile Brute-Force au explicat: Cum toate criptarea este vulnerabilă, vârstele de sistem de criptare și puterea hardware-ului cresc, deci este doar o chestiune de timp înainte de ceea ce a fost o țintă tare( cum ar fi algoritmul de criptare a parolei NTLM al Microsoft) este învingător într-o chestiune de ore.
Trebuie să adăugați ceva la explicație? Sunați în comentariile. Doriți să citiți mai multe răspunsuri de la alți utilizatori de tehnologie Stack Exchange? Check out discuția completă aici.