13Sep

Sú krátke heslá naozaj nezabezpečené?


Viete cvičenie: používajte dlhé a rozdielne heslo, nepoužívajte rovnaké heslo dvakrát, použite iné heslo pre každú stránku. Používa krátke heslo naozaj nebezpečné?
dnešná otázka &Odpoveď na zasadnutie nám príde s láskavým dovolením SuperUser - subdivíziu Stack Exchange, komunitne riadeného zoskupenia webových stránok Q & A.

Otázka

čítačka SuperUser user31073 je zvedavá, či by mal naozaj dbať na tie varovania s krátkym heslom:

Pri používaní systémov, ako je TrueCrypt, keď musím definovať nové heslo, som často informovaný, že použitie krátkeho hesla je neisté a "veľmi jednoduché"aby sa zlomil hrubou silou.

Vždy používam heslá s dĺžkou 8 znakov, ktoré nie sú založené na slovných slovách, ktoré pozostávajú zo znakov zo sady A-Z, a-z, 0-9

I.e. Používam heslo, ako je sDvE98f1

Ako jednoduché je to, aby sa také heslo stalo hrubou silou? Tj.ako rýchlo.

Viem, že to silne závisí na hardvéri, ale možno niekto by mohol dať mi odhad, ako dlho to bude trvať, aby to na dvojitom jadre s 2GHZ alebo čokoľvek mať rámec pre hardvér.

K útoku s takýmto heslom potrebujete nielen prechádzať cez všetky kombinácie, ale tiež pokúšať sa dešifrovať s každým uhádnutým heslom, ktoré tiež potrebuje nejaký čas.

Je tu tiež nejaký softvér na hrubú silovú hru TrueCrypt, pretože sa chcem pokúsiť o hrubou silou popraskať svoje vlastné heslo a zistiť, ako dlho to trvá, ak je to naozaj "veľmi jednoduché".

Sú krátke náhodné heslá naozaj ohrozené?

Odpoveď

prispievateľ SuperUser Josh K. zdôrazňuje, čo útočník bude potrebovať:

Ak útočník môže získať prístup k heslo hash, je často veľmi ľahké hrubou silou, pretože to jednoducho znamená heslá hesiel, kým hash zápas.

"Pevnosť" hash závisí od uloženia hesla. Hash MD5 môže trvať menej času na vytvorenie paketu SHA-512.

Windows používa( a možno aj neviem) ukladať heslá vo formáte LM hash, ktorý vyšiel heslo a rozdelil ho na dva sedemznakové bloky, ktoré boli následne prerušené.Ak by ste mali 15-miestne heslo, nezáležalo by to preto, lebo ukladalo iba prvých 14 znakov a bolo ľahké robiť silnú silu, pretože ste neboli brutálny vynútený 14-miestnym heslom, boli ste brutálne vynútením dvoch 7-znakových hesiel.

Ak máte pocit, že potrebujete, stiahnite program, ako je John The Ripper alebo Cain &Abel( odkazy odopreté) a otestujte ho.

Pamätám si, že môžem vygenerovať 200 000 hashov za sekundu za LM hash. V závislosti od toho, ako Truecrypt ukladá hash a ak ho možno získať z uzamknutého zväzku, môže to trvať viac či menej času.

Brute sila útoky sú často používané, keď útočník má veľké množstvo hash prejsť.Po prechode cez bežný slovník často začnú vyliečať heslá s bežnými útokmi na hrubou silou.Číslované heslá do desiatich, rozšírené alfa a numerické, alfanumerické a bežné symboly, alfanumerické a rozšírené symboly. V závislosti od cieľa útoku môže viesť s rôznou mierou úspešnosti. Pokúšať sa ohroziť bezpečnosť jedného účtu zvlášť často nie je cieľom.

Ďalším prispievateľom Phoshi sa rozširuje myšlienka:

Brute-Force nie je životaschopný útok , skoro všetko. Ak útočník nepozná nič o vašom hesle, nedosiahne to cez brute-force túto stranu roku 2020. To sa môže v budúcnosti zmeniť, pretože hardvér pokročí( Napríklad by sa mohol použiť všetko však - veľa - to má -teraz jadra na i7, masívne zrýchlenie procesu( stále hovoriť rokov, aj keď)

Ak chcete byť-super-zabezpečiť, držať rozšírený-ASCII symbol tam( držte alt, použite numpad zadať čísloväčší ako 255).Robiac to do veľkej miery uisťuje, že obyčajná brutálna sila je zbytočná.

Mali by ste byť znepokojení potenciálnymi chybami v šifrovacom algoritme spoločnosti truecrypt, ktorý by mohol uľahčiť nájdenie hesla a samozrejme, že najzložitejšie heslo na svete je zbytočné, ak je stroj, na ktorom ho používate, ohrozený.

Odpovedali sme na Phoshiho odpoveď, aby sme si prečítali, že "Brute-force nie je životaschopný útok, keď používa sofistikované šifrovanie súčasnej generácie, skoro vždy".

Ako sme zdôraznili v našom nedávnom článku, Brute-Force Attacks vysvetľuje: Ako je všetko šifrovanie zraniteľné, šifrovacie schémy veku a hardvérového výkonu sa zvyšuje, takže je to len otázkou času predtým, ako býval tvrdý cieľ( napr. Algoritmus NTLM kódovania heslom spoločnosti Microsoft) je možné zabrániť v priebehu niekoľkých hodín.

Máte čo pridať k vysvetleniu? Zvuk vypnúť v komentároch. Chcete si prečítať viac odpovedí od iných používateľov technológie Stack Exchange? Pozrite sa na celý diskusný príspevok tu.