Sú krátke heslá naozaj nezabezpečené?
Poznáte cvičenie: používajte dlhé a rozdielne heslo, nepoužívajte rovnaké heslo dvakrát, pre každé miesto používajte iné heslo. Používa krátke heslo naozaj nebezpečné?
Dnešná relácia otázok a odpovedí sa k nám pridelí zdvorilosťou SuperUser - podskupiny Stack Exchange, zoskupenia webových stránok typu Q & A.
Otázka
Čítač SuperUser user31073 je zvedavý, či by mal naozaj dbať na tieto upozornenia s krátkym heslom:
Pri používaní systémov, ako je TrueCrypt, keď musím definovať nové heslo, som často informovaný, že pomocou krátkeho hesla je neisté a "veľmi ľahké" zlomiť hrubou silou.
Vždy používam heslá s dĺžkou 8 znakov, ktoré nie sú založené na slovných slovách, ktoré pozostávajú zo znakov zo sady A-Z, a-z, 0-9
Tj. Používam heslo ako sDvE98f1
Ako jednoduché je takéto heslo vykoreniť hrubou silou? Tj. ako rýchlo.
Viem, že to ťažko závisí od hardvéru, ale možno niekto by mohol mi odhadnúť, ako dlho by to trvalo, aby ste to urobili na dvojitom jadre s 2GHZ alebo čokoľvek mať referenčný rámec pre hardvér.
K útoku s takýmto heslom potrebujete nielen prechádzať cez všetky kombinácie, ale tiež sa pokúšať dešifrovať s každým odhadovaným heslom, ktoré tiež potrebuje nejaký čas.
Tiež je tu nejaký softvér na hrubú silu hack TrueCrypt, pretože sa chcem pokúsiť o brutálnu silu crack svoje vlastné heslo vidieť, ako dlho to trvá, ak je to naozaj, že "veľmi jednoduché".
Sú veľmi krátke krátke heslá s náhodným charakterom?
Odpoveď
Príspevok SuperUser Josh K. zdôrazňuje, čo by útočník potreboval:
Ak útočník môže získať prístup k heslom, často je veľmi ľahké hrubou silou, pretože to jednoducho znamená heslá,.
Hustota "hash" závisí od toho, ako je heslo uložené. Hash MD5 môže trvať kratší čas na vytvorenie hash SHA-512.
Systém Windows, ktorý ste používali (a možno aj neviem), ukladajú heslá vo formáte LM hash, ktorý vyšiel heslo a rozdelil ho na dva sedemznakové bloky, ktoré boli následne prepísané. Ak by ste mali 15-miestové heslo, nezáležalo by to preto, lebo uložilo iba prvých 14 znakov a bolo ľahké hrubou silou, pretože ste neboli hrubo vynútené 14-miestnym heslom, boli ste brutálnym vynútením dvoch 7-znakových hesiel.
Ak máte pocit, že potrebujete, stiahnite program ako John The Ripper alebo Cain & Abel (odkazy, ktoré ste zadali) a otestujte ho.
Spomínam si, že môžem vygenerovať 200 000 hashov za sekundu za LM hash. V závislosti od toho, ako Truecrypt ukladá hash a ak ho možno získať z uzamknutého objemu, môže to trvať viac alebo menej času.
Brute sila útoky sú často používané, keď útočník má veľké množstvo hash prejsť. Po prechode cez bežný slovník často začnú vyliečať heslá s bežnými útokmi na hrubou silou. Číslované heslá do desiatich, rozšírené alfa a numerické, alfanumerické a bežné symboly, alfanumerické a rozšírené symboly. V závislosti od cieľa útoku to môže viesť s rôznou mierou úspešnosti. Pokúšanie ohroziť bezpečnosť jedného účtu zvlášť často nie je cieľom.
Ďalším prispievateľom Phoshi rozširuje túto myšlienku:
Brute-Force nie je životaschopný útok, skoro všetko. Ak útočník nepozná nič o vašom hesle, nedosiahne to hrubou silou na tejto strane roku 2020. To sa môže v budúcnosti zmeniť, pretože hardvér postupuje (Napríklad by sa mohol použiť všetko však - veľa - to má - teraz jadra na i7, masívne zrýchlenie procesu (stále rozprávanie rokov)
Ak chcete byť-super-zabezpečiť, držte rozšírený-ascii symbol tam (Hold alt, použite numpad na zadanie číslo väčšie ako 255). Robiac to do veľkej miery uisťuje, že obyčajná hrubá sila je zbytočná.
Mali by ste byť znepokojení potenciálnymi chybami v šifrovacom algoritme spoločnosti truecrypt, ktorý by mohol uľahčiť nájdenie hesla a samozrejme najzložitejšie heslo na svete je zbytočné, ak je zariadenie, na ktorom ho používate, ohrozené.
Povedali by sme, že Phoshi odpovedá, aby si prečítal "Brute-force nie je životaschopný útok, keď používa sofistikované šifrovanie súčasnej generácie, skoro vždy".
Ako sme zdôraznili v našom nedávnom článku, Brute-Force Attacks vysvetľuje: Ako je všetko šifrovanie zraniteľné, šifrovacie schémy veku a hardvérového výkonu sa zvyšuje, takže je to len otázkou času, ktorý predtým bol tvrdý cieľ (ako algoritmus NTLM kódovania hesiel spoločnosti Microsoft) je poraziteľná v priebehu niekoľkých hodín.
Máte niečo doplniť vysvetlenie? Vyjadrite sa v komentároch. Chcete sa dozvedieť viac odpovedí od iných používateľov technickej úrovne Stack Exchange? Pozrite sa na celý diskusný príspevok tu.