13Sep

Är korta lösenord verkligen så osäkra?


Du vet borren: använd ett långt och varierat lösenord, använd inte samma lösenord två gånger, använd ett annat lösenord för varje webbplats. Använder ett kort lösenord verkligen så farligt?
Dagens fråga &Svarssession kommer till oss med tillstånd av SuperUser-en indelning av Stack Exchange, en community-driven gruppering av Q & A-webbplatser.

Frågan

SuperUser-läsaren user31073 är nyfiken på att han verkligen bör ta itu med dessa varningar för kort lösenord:

Använda system som TrueCrypt, när jag måste definiera ett nytt lösenord informeras jag ofta om att med ett kort lösenord är osäker och "väldigt lätt"att bryta mot brute-force.

Jag använder alltid lösenord med 8 tecken i längd, som inte är baserade på ordlistor, som består av tecken från set A-Z, a-z, 0-9

I.e. Jag använder lösenord som sDvE98f1

Hur lätt är det att spricka ett sådant lösenord med brute-force? Dvs.hur snabbt.

Jag vet att det är starkt beroende av hårdvaran, men kanske någon kan ge mig en uppskattning hur lång tid det skulle ta att göra detta på en dubbelkärna med 2GHz eller vad som helst för att ha en referensram för hårdvaran.

För att brutna kraft attackera ett sådant lösenord behöver man inte bara cykla genom alla kombinationer, men försök också att dekryptera med varje gissat lösenord som också behöver lite tid.

Finns det också någon programvara för att brute-force hack TrueCrypt eftersom jag vill försöka brute-force spricka mitt eget lösenord för att se hur lång tid det tar om det verkligen är så "väldigt lätt".

Är korta slumpmässiga lösenord verkligen i fara?

Svaret

SuperUser-bidragsgivaren Josh K. belyser vad angriparen skulle behöva:

Om angriparen kan få åtkomst till lösenhashen är det ofta mycket lätt att brute force eftersom det helt enkelt medför hash-lösenord tills hackarna matchar.

Hash "styrka" är beroende av hur lösenordet lagras. En MD5-hash kan ta mindre tid att generera än en SHA-512 hash.

Windows brukade( och kan fortfarande, jag vet inte) lagra lösenord i ett LM hash-format, vilket upplöste lösenordet och delade det i två 7 teckenbitar som sedan hade hashed. Om du hade ett 15 tecken lösenord det inte skulle betyda att det bara lagrade de första 14 tecknen, och det var lätt att brute force eftersom du inte var brute tvinga ett 14 tecken lösenord, du var brute tvingar två 7 tecken lösenord.

Om du känner behovet, ladda ner ett program som John The Ripper eller Cain &Abel( länkar bibehållna) och testa det.

Jag minns att kunna generera 200.000 haschar en sekund för en LM hash. Beroende på hur Truecrypt lagrar hash, och om det kan hämtas från en låst volym, kan det ta mer eller mindre tid.

Brutta kraftattacker används ofta när angriparen har ett stort antal hash för att gå igenom. Efter att ha kört igenom en gemensam ordbok börjar de ofta lura lösenord ut med vanliga brutala kraftattacker. Numrerade lösenord upp till tio, utökade alfanumeriska och numeriska, alfanumeriska och vanliga symboler, alfanumeriska och utökade symboler. Beroende på målet för attacken kan det leda till varierande framgångsräntor. Att försöka äventyra säkerheten för ett konto i synnerhet är ofta inte målet.

En annan bidragsgivare, Phoshi expanderar på idén:

Brute-Force är inte en livskraftig attack , ganska mycket någonsin. Om angriparen inte vet något om ditt lösenord får han inte den genom brute-force den här sidan av 2020. Det kan komma att förändras i framtiden, när hårdvara går vidare( Till exempel kan man använda alla men-många-det-har-nu kärnor på en i7, massivt påskynda processen( ändå talar år))

Om du vill vara säker, håll en utökad ascii-symbol där inne( Håll alt, använd numret för att skriva in ett nummerstörre än 255).Om du gör det, försäkrar du ganska mycket om att en vanlig brute-kraft är värdelös.

Du borde vara oroad över potentiella brister i truecrypts krypteringsalgoritm, vilket kan göra det enklare att hitta ett lösenord och det är naturligtvis det mest komplexa lösenordet i världen som är värdelöst om den maskin du använder den på är äventyrad.

Vi skulle annotera Phoshis svar att läsa "Brute-Force är inte en livskraftig attack, när vi använder sofistikerad nuvarande generationskryptering, ganska mycket någonsin".

Som vi framhävde i vår senaste artikel förklarade Brute Force Attacks: Hur all kryptering är utsatt, krypteringssystem åldras och hårdvarukraft ökar så det är bara en fråga om tid innan vad som var ett svårt mål( som Microsofts NTLM lösenordskrypteringsalgoritm) är besegrad om några timmar.

Har du något att lägga till förklaringen? Ljud av i kommentarerna. Vill du läsa mer svar från andra tech-savvy Stack Exchange-användare? Kolla in hela diskussionsgängan här.