If-Koubou

Czy krótkie hasła naprawdę są takie niepewne?

Czy krótkie hasła naprawdę są takie niepewne? (Jak)


Znasz ćwiczenie: używaj długiego i zróżnicowanego hasła, nie używaj tego samego hasła dwa razy, użyj innego hasła dla każdej witryny. Czy używanie krótkiego hasła jest naprawdę niebezpieczne?
Dzisiejsza sesja pytań i odpowiedzi przychodzi do nas dzięki uprzejmości SuperUser - poddziału Stack Exchange, społecznościowego forum z pytaniami i odpowiedziami.

Pytanie

Czytnik SuperUser user31073 jest ciekawy, czy powinien naprawdę zwrócić uwagę na ostrzeżenia o krótkim podaniu hasła:

Korzystając z systemów takich jak TrueCrypt, kiedy muszę zdefiniować nowe hasło, często jestem informowany, że używanie krótkiego hasła jest niebezpieczne i "bardzo łatwe", aby je złamać brutalną siłą.

Zawsze używam haseł o długości 8 znaków, które nie są oparte na słowach słownika, który składa się ze znaków z zestawu A-Z, a-z, 0-9

To znaczy. Używam hasła jak sDvE98f1

Jak łatwo jest złamać takie hasło przez brutalną siłę? To znaczy. jak szybko.

Wiem, że zależy to w dużej mierze od sprzętu, ale może ktoś mógłby mi podać szacunek, ile czasu zajmie zrobienie tego na dwurdzeniowym systemie z 2GHz lub cokolwiek innego, aby uzyskać referencje dla sprzętu.

Aby brutalnie zmusić do ataku takie hasło, trzeba nie tylko przechodzić przez wszystkie kombinacje, ale także próbować odszyfrować każde odgadnięte hasło, które również potrzebuje czasu.

Czy jest jakieś oprogramowanie do brutalnego ataku hackowania TrueCrypt, ponieważ chcę spróbować brutalnie wymuszać złamanie mojego hasła, aby zobaczyć, ile czasu to zajmie, jeśli jest naprawdę "bardzo łatwe".

Czy krótkie hasła losowego charakteru są naprawdę zagrożone?

Odpowiedź

Pomocnik SuperUser Josh K. podkreśla, czego atakujący będzie potrzebował:

Jeśli atakujący może uzyskać dostęp do skrótu hasła, często bardzo łatwo jest użyć brutalnej siły, ponieważ zawiera po prostu hash, dopóki nie zostanie dopasowany.

Wartość "hash" zależy od sposobu przechowywania hasła. Wartość skrótu MD5 może zająć mniej czasu, aby wygenerować wartość skrótu SHA-512.

System Windows, którego używałem (i nadal nie wiem) może przechowywać hasła w formacie mieszania LM, które zawierało hasło i dzieliło je na dwie części składające się z 7 znaków, które następnie zostały zaszyfrowane. Jeśli miałbyś 15-znakowe hasło, nie miałoby to znaczenia, ponieważ zawierało tylko pierwsze 14 znaków, a brutalne życie było łatwe, ponieważ nie brutalnie wymuszałeś 14-znakowe hasło, brutalnie wymuszałeś dwa 7-znakowe hasła.

Jeśli czujesz taką potrzebę, pobierz program, taki jak John The Ripper lub Cain & Abel (linki wstrzymane) i przetestuj go.

Przypominam, że potrafię wygenerować 200 000 skrótów na sekundę dla skrótu LM. W zależności od tego, w jaki sposób Truecrypt przechowuje hasz, i czy można go odzyskać z zablokowanego woluminu, może to potrwać dłużej lub krócej.

Ataki typu Brute Force są często używane, gdy atakujący ma dużą liczbę skrótów do przejścia. Po uruchomieniu wspólnego słownika często zaczynają wymieniać hasła za pomocą typowych ataków typu brute force. Numerowane hasła do dziesięciu, rozszerzone symbole alfanumeryczne, alfanumeryczne i zwykłe, symbole alfanumeryczne i rozszerzone. W zależności od celu ataku może on prowadzić z różnym wskaźnikiem sukcesu. Próba naruszenia bezpieczeństwa jednego konta w szczególności często nie jest celem.

Inny współpracownik, Phoshi, rozwija pomysł:

Brute-Force nie jest realnym atakiem, prawie zawsze. Jeśli atakujący nie wie nic o Twoim haśle, nie przebije go przez tę stronę w 2020 roku. Może się to zmienić w przyszłości, w miarę postępu sprzętu (na przykład można użyć wszystkich, niezależnie od tego, ile-wiele-ma- teraz rdzenie na i7, znacznie przyspieszające proces (wciąż jednak lata))

Jeśli chcesz być "super bezpiecznym", trzymaj w tym miejscu rozszerzony symbol ascii (przytrzymaj alt, użyj klawiatury numerycznej, aby wpisać liczbę większą niż 255). Takie postępowanie zapewnia, że ​​zwykła brutalna siła jest bezużyteczna.

Powinieneś być zaniepokojony potencjalnymi błędami w algorytmie szyfrowania Truecrypt, co może znacznie ułatwić znalezienie hasła, i oczywiście najbardziej skomplikowane hasło na świecie jest bezużyteczne, jeśli maszyna, z której korzystasz, jest zagrożona.

Adnotowaliśmy odpowiedź Phoshi, by przeczytać: "Brute-force nie jest realnym atakiem, kiedy używa się wyrafinowanego szyfrowania prądu, prawie zawsze".

Jak podkreśliliśmy w naszym niedawnym artykule, wyjaśniono działanie ataków Brute-Force: jak wszystkie szyfrowania są podatne na ataki, schematy szyfrowania starzeją się, a przyrost mocy sprzętowej, więc to tylko kwestia czasu, zanim stanie się on twardym celem (jak algorytm szyfrowania haseł NTLM firmy Microsoft) można pokonać w ciągu kilku godzin.

Czy masz coś do dodania do wyjaśnienia? Dźwięk w komentarzach. Chcesz przeczytać więcej odpowiedzi od innych użytkowników Stack Exchange, którzy znają się na technologii? Sprawdź cały wątek dyskusji tutaj.