Начална » как да » Дали кратките пароли наистина са несигурни?

    Дали кратките пароли наистина са несигурни?


    Знаете тренировката: използвайте дълга и разнообразна парола, не използвайте същата парола два пъти, използвайте различна парола за всеки сайт. Дали използването на кратка парола наистина е толкова опасно?
    Днешната сесия за въпроси и отговори идва при нас с любезното съдействие на SuperUser - подразделение на Stack Exchange, групирано от общността уеб сайтове за въпроси и отговори.

    Въпроса

    Потребителят на SuperUser user31073 е любопитен дали наистина трябва да се вслуша в предупрежденията за кратки пароли:

    Използвайки системи като TrueCrypt, когато трябва да дефинирам нова парола, често съм информиран, че използването на къса парола е несигурно и „много лесно“ да се прекъсне с груба сила.

    Винаги използвам пароли с дължина 8 знака, които не се основават на думи от речника, които се състоят от знаци от множеството A-Z, a-z, 0-9

    Т.е. Използвам парола като sDvE98f1

    Колко лесно е да се пропука такава парола от груба сила? Т.е. колко бързо.

    Знам, че силно зависи от хардуера, но може би някой може да ми даде оценка колко време ще отнеме да направите това на двойно ядро ​​с 2GHZ или каквото и да има референтна рамка за хардуера.

    За да атакувате с такава парола, не само трябва да преминете през всички комбинации, но и да се опитате да декриптирате с всяка позната парола, която също се нуждае от известно време..

    Също така, има ли някакъв софтуер за грубо хакване на TrueCrypt, защото искам да се опитам да премахна паролата си, за да видя колко време отнема, ако наистина е „много лесно“.

    Самите кратки случайни пароли наистина са изложени на риск?

    Отговорът

    Сътрудникът на SuperUser Джош К. подчертава, че нападателят се нуждае от:

    Ако нападателят може да получи достъп до хеша на паролата, често е много лесно да се използва груба сила, тъй като тя просто включва хеширане на пароли, докато хешовете съвпаднат.

    Хеш “сила” зависи от това как се съхранява паролата. Хеш на MD5 може да отнеме по-малко време, за да генерира след това SHA-512 хеш.

    Windows използва за (и може би все още не знам) съхраняване на пароли в LM хеш формат, който променя главно паролата и го разделя на два 7 символни парчета, които след това се хешират. Ако сте имали парола от 15 знака, нямаше да има значение, защото в нея бяха запазени само първите 14 знака и беше лесно да се премахне грубата сила, защото не бяхте принудени да въвеждат парола от 14 знака..

    Ако почувствате нужда, изтеглете програма като John The Ripper или Cain & Abel (връзките не се намират) и го тествайте.

    Спомням си, че можех да генерирам 200 000 хеша на секунда за LM хеш. В зависимост от това как Truecrypt съхранява хеша и ако може да бъде извлечен от заключен том, може да отнеме повече или по-малко време.

    Атаките с груба сила често се използват, когато нападателят има голям брой хешове, през които да премине. След като преминат през общ речник, те често започват да преливат пароли с обикновени атаки с груба сила. Номерирани пароли до десет, разширени буквени и цифрови, буквено-цифрови и общи символи, буквено-цифрови и разширени символи. В зависимост от целта на атаката, тя може да доведе с различна степен на успех. Опитът да се компрометира сигурността на една сметка често не е целта.

    Друг участник, Phoshi разширява идеята:

    Брутална сила не е жизнеспособна атака, почти винаги. Ако нападателят не знае нищо за вашата парола, той не го получава чрез брутална сила от тази страна на 2020 година. Това може да се промени в бъдеще, тъй като хардуерът напредва (например, човек може да използва всички обаче - много-то-има- сега ядрата на i7, масово ускоряват процеса (все още говорят години)

    Ако искате да бъдете свръхзащитен, залепете в него разширен ascii символ (задръжте Alt, използвайте цифрата, за да въведете число, по-голямо от 255). Правейки това почти сигурно е, че обикновена груба сила е безполезна.

    Трябва да сте загрижени за потенциални недостатъци в алгоритъма за шифроване на truecrypt, който би могъл да направи намирането на парола много по-лесно, и разбира се, най-сложната парола в света е безполезна, ако машината, която използвате, е компрометирана.

    Бихме искали да отбележим отговора на Phoshi, за да прочетете „Брутална сила не е жизнеспособна атака, когато използвате сложно криптиране от сегашното поколение, почти никога“.

    Както се подчертава в нашата неотдавнашна статия, Brute-Force Attacks обясни: Как е шифроване, криптиращите схеми на възрастта и хардуерната мощност се увеличават, така че е само въпрос на време преди това, което е било твърда цел (като алгоритъма на Microsoft за NTLM криптиране) е победим в рамките на няколко часа.

    Имате ли какво да добавите към обяснението? Звукът е изключен в коментарите. Искате ли да прочетете повече отговори от други технологични потребители на Stack Exchange? Вижте пълната тема за дискусия тук.

    Има ли ползи от включването на мишката в USB 3.0 порта?
    Има ли някакви рискове при използването на Y-кабели с USB периферни устройства?
    Има ли награди на Razer zSilver Gaming, които струват?
    Следваща статия
    Сигурни ли са бравите?
    Предишна статия
    Готови ли са сайтовете, които убиват уеб дизайна?