13Sep
Matkap biliyorsunuz: uzun ve çeşitli bir şifre kullanın, aynı şifreyi iki kere kullanmayın, her site için farklı bir şifre kullanın. Kısa bir şifre kullanmak gerçekten tehlikeli mi?
Bugünkü Soru &Yanıt oturumu bize Q & A web sitelerinin topluluk temelli bir gruplandırması olan Stack Exchange'in bir alt bölümü olan SuperUser nezaketen geliyor.
Soru
SüperKullanıcı okuyucu user31073, o kısa-şifre uyarılarını gerçekten dikkate almalı mı merak ediyor:
TrueCrypt gibi sistemleri kullanarak, yeni bir şifre tanımlamam gerektiğinde sıklıkla kısa bir şifre kullanarak güvensiz ve "çok kolay"Kaba kuvvetle kırmak için.
Her zaman A-Z, a-z, 0-9
I.e. kümesinden gelen karakterlerden oluşan sözlük sözcüklerine dayalı olmayan 8 karakter uzunluğunda şifre kullanıyorum. SDvE98f1
gibi şifre kullanıyorum Kaba kuvvetle böyle bir şifreyi kırmak ne kadar kolay? Yanine kadar hızlı.
Donanımın ağırlığına bağlı olduğunu biliyorum, ancak belki birisi bana bunu 2GHZ'lik çift çekirdekli bir bilgisayarda ne kadar süreceğini tahmin edebilir ve donanım için bir referans çerçevesi oluşturabilir.
Böyle bir şifreyi brute-force saldırısı yapmak için, sadece tüm kombinasyonlarda dolaşmakla kalmayıp, aynı zamanda biraz zamana ihtiyacı olan her tahmin edilen şifreyi çözmeyi deneyin.
Ayrıca, gerçek anlamıyla "çok kolay" olduğu takdirde ne kadar süreceğini görmek için kendi şifresini çatlatmaya çalışmak istediğim için kaba kuvvetle TrueCrypt'i kesmek için bazı yazılımlar var.
Kısa rastgele karakterli parolalar gerçekten risk altında mı?
Cevap
SuperUser katkıda bulunan Josh K. saldırganın neye ihtiyaç duyacağını vurgular:
Saldırgan parola karmasına erişebiliyorsa, karışıklıklar eşleşene kadar sadece şifreleri karma işlemlerini gerektirdiği için kaba kuvvet uygulamak genellikle çok kolaydır.
Karma "gücü", parolanın nasıl depolandığına bağlıdır. Bir MD5 karması, daha sonra bir SHA-512 karması oluşturmak için daha az zaman alabilir.
Windows, parolaları büyük harfle yazılmış ve daha sonra kıyımlanmış iki 7 karakter parçasına bölen bir LM karma biçiminde depolayan paraları( ve hala bilmiyorum) depoluyordu.15 karakterli bir şifreniz varsa ilk 14 karakteri sakladığı için kabusunuz zordu, çünkü kaba bir 14 karakterlik bir şifre girmeye zorlanmadığınız için kaba iki 7 karakterlik şifre zorladı.
İhtiyacınız olduğunu düşünüyorsanız, John The Ripper veya Cain &Abel( bağlantıları kaldırdı) ve test edin.
Hatırlıyorum ki LM karması için saniyede 200.000 karışıklık üretebiliyor olmalıyım. Truecrypt'in karmayı depoladığı duruma bağlı olarak ve kilitli bir birimden alınabiliyorsa, daha fazla veya daha az zaman gerekebilir.
Kaba kuvvet saldırıları, saldırganın geçmesi gereken çok miktarda karması olduğunda genellikle kullanılır. Ortak bir sözlüğe geçtikten sonra, genellikle ortak kaba kuvvet saldırılarıyla şifreleri silmeye başlayacaklar. On'a kadar numaralandırılmış şifreler, genişletilmiş alfa ve sayısal, alfanümerik ve ortak simgeler, alfanümerik ve genişletilmiş semboller. Saldırının hedefine bağlı olarak, başarı oranları farklılık gösterebilir.Özellikle bir hesabın güvenliğini tehlikeye atmaya çalışmak genellikle hedef değildir.
Başka bir katkıda bulunan Phoshi, bu fikri genişletiyor:
Brute-Force, bugüne kadar için geçerli bir saldırı değildir. Saldırgan, şifreniz hakkında hiçbir şey bilmiyorsa, 2020 yılının bu tarafında kaba kuvvet uygulamaya başlamıyor. Gelecekte, donanım ilerledikçe değişebilir( Örneğin, her şeye rağmen,şimdi i7'de çekirdekler, süreci hızla hızlandırıyor( Yine de yıllardan bahsediyor)
Eğer daha güvenli olmasını istiyorsanız, orada genişletilmiş bir ascii sembolü takın( Bir başka deyişle rakamı yazmak için numpad kullanın)255'den büyük).Bunu yapmak hoş bir kaba kuvvetin faydasız olduğunu garanti eder.
Bir parolayı daha kolay bulmanızı sağlayacak truecrypt'in şifreleme algoritmasında olası kusurlardan endişe duymanız gerekir ve elbette, kullandığınız makine tehlikeye atılırsa, dünyadaki en karmaşık şifre kullanışsızdır.
Phoshi'nin "Brüt-kuvvet, gelişmiş nesil şifrelemeyi kullanırken uygulanabilir bir saldırı değildir," dediği yanıtını açıklardık.
Son makalemizde vurguladığımız gibi, Brute-Force Attacks Açıklaması: Tüm Şifreleme Nasıl Vulnerable Edilir, şifreleme planları yaş ve donanım gücü artar, bu yüzden zor bir hedef olan Microsoft'un NTLM şifre şifreleme algoritması) bir kaç saat içinde yenilmez.
Açıklamaya eklemek için bir şey var mı?Açıklamalarda ses çıkıyor. Diğer teknik uzman Stack Exchange kullanıcılarından daha fazla cevap okumak ister misiniz? Buradaki tam tartışma dizinine göz atın.