13Sep
Poznate vaja: uporabite dolg in raznolik geslo, ne uporabljajte istega gesla dvakrat, uporabite drugo geslo za vsako spletno mesto. Ali res uporablja to kratko geslo?
Današnje vprašanje &S sejo odgovora prihaja uporaba SuperUserja, ki je razdeljena na Stack Exchange, skupinsko spletno stran Q & A.
Vprašanje
SuperUser bralca user31073 je radovedno, ali bi res moral upoštevati opozorila s kratkim geslom:
Uporaba sistemov, kot je TrueCrypt, ko moram določiti novo geslo, sem pogosto obveščen, da je uporaba kratkega gesla negotova in "zelo enostavna"prekiniti z močjo.
Vedno uporabljam gesla dolžine 8 znakov, ki ne temeljijo na slovarskih besedah, ki so sestavljene iz znakov iz nastavljenega A-Z, a-z, 0-9
I.e. Uporabljam geslo, kot je sDvE98f1
Kako enostavno je to geslo zlomiti z brutalno silo? I.e.kako hitro.
Vem, da je močno odvisna od strojne opreme, mogoče pa bi mi lahko nekdo dal oceno, kako dolgo bo trajalo, da bi to naredili na dualnem jedru z 2GHZ ali karkoli, da bi imeli referenčni okvir za strojno opremo.
Za napad na takšno geslo potrebujete ne samo, da prelistate vse kombinacije, temveč tudi poskusite z dešifrirati z vsakim ugibanim geslom, ki ga potrebuje tudi nekaj časa.
Prav tako obstaja programska oprema za hack-hack TrueCrypt, ker želim poskusiti zbrisati svojo geslo, da vidim, kako dolgo traja, če je res "zelo enostavno".
Ali so resnično ogrožena kratka gesla z naključnim znanjem?
Odgovornost
SuperUser prispevek Josh K. poudarja, kaj bi moral napadalec potrebovati:
Če napadalec lahko pridobi dostop do gesla za gesla, je pogosto zelo enostavno za brutalno silo, saj preprosto zajema gesla za hacking, dokler se haše ne ujema.
Hash "strength" je odvisen od shranjevanja gesla. Hash MD5 lahko traja manj časa, da bi ustvaril šašek SHA-512.
Windows, ki se uporablja( in morda še vedno ne vem), shranjuje gesla v formatu LM hash, ki je prekoračil geslo in ga razdelil v dve 7-bitni skupini, ki sta bili nato razpršeni.Če bi imeli geslo za 15 znakov, ne bi bilo pomembno, ker je shranjeval le prvih 14 znakov in je bilo enostavno brutalno silo, ker niste bili brutalno prisiljeni geslo 14 znakov, bili ste zaskrbljeni zaradi dveh 7 znakovnih gesel.
Če menite, da je treba, prenesite program, kot sta John The Ripper ali Cain &Abel( povezave prikrito) in preizkusite.
Spomnim se, da lahko ustvarim 200.000 hez na sekundo za lažni LH.Odvisno od tega, kako Truecrypt shrani spis in če ga je mogoče naložiti iz zaklenjene glasnosti, lahko traja več ali manj časa.
Napadi z močno silo se pogosto uporabljajo, ko ima napadalec veliko število heš.Po zagonu skupnega slovarja pogosto začnejo pljunilske gesla s skupnimi napadi z brutalno silo. Oštevilčena gesla do desetih, razširjeni alfa in številčni, alfanumerični in skupni simboli, alfanumerični in razširjeni simboli. Odvisno od cilja napada lahko vodi z različnimi stopnjami uspešnosti. Poskus ogrožanja varnosti enega računa pogosto ni cilj.
Še en prispevek, Phoshi razširi na idejo:
Brute-Force ni uspešen napad , precej doslej.Če napadalec ne pozna ničesar o vašem geslu, ga ne bo dosegel s to močjo na strani te strani leta 2020. To se lahko v prihodnosti spremeni, ko napreduje strojna oprema( na primer, lahko uporabite vse, čeprav je veliko,zdaj jedra na i7, kar močno pospešuje proces( čeprav še vedno govori let))
Če želite biti super-varni, držite simbol razširjenega ascii tam( držite alt, uporabite numpad, da vnesete številkovečji od 255).Naredite, da to precej zagotavlja, da je navadna brutalna sila neuporabna.
Morali bi biti zaskrbljeni zaradi morebitnih napak v algoritmu za kodiranje truecrypta, kar bi lahko lažje našlo geslo, seveda pa je najbolj zapleteno geslo na svetu neuporabno, če je stroj, ki ga uporabljate, ogrožen.
Odgovor Phoshi bomo komentirali, da se glasi: "Brute-sila ni uspešen napad, ko uporabljamo prefinjeno šifriranje trenutne generacije, precej doslej".
Kot smo poudarili v našem nedavnem članku, so Explained Explained: Kako je vse šifriranje ranljivo, se čas šifriranja skrajša in moč strojne opreme poveča, zato je samo vprašanje časa pred tem, kar je bilo težko ciljati( na primer Microsoftov algoritem za šifriranje gesla NTLM) je v nekaj urah zmoti.
Ali želite dodati nekaj pojasnila? Zvok v komentarjih.Želite prebrati več odgovorov od drugih uporabniških članov stack Exchange? Oglejte si celotno temo za razpravo tukaj.