A rövid jelszavak valóban bizonytalanok?
Ismered a fúrót: használj egy hosszú és változatos jelszót, ne használd kétszer ugyanazt a jelszót, használj egy másik jelszót minden oldalon. Egy rövid jelszó használata nagyon veszélyes?
A mai Kérdések és válaszok munkamenet a Jóvagyon - a Stack Exchange alosztályának, a közösség által vezérelt Q&A webhelyek csoportjának köszönhetően..
A kérdés
A SuperUser olvasó user31073 kíváncsi, hogy valóban figyeli-e ezeket a rövid jelszavakat:
Olyan rendszerek használata, mint például a TrueCrypt, amikor új jelszót kell megadnom, gyakran tájékoztatják, hogy rövid jelszó használata bizonytalan és „nagyon könnyű” a brutális erő megszakításához.
Mindig 8 karakter hosszúságú jelszavakat használok, amelyek nem a szótárszavakon alapulnak, amely az A-Z, a-z, 0-9 készlet karaktereit tartalmazza.
Azaz. Jelszót használok, mint az sDvE98f1
Mennyire könnyű egy ilyen jelszót brutális erővel feltörni? Azaz. milyen gyorsan.
Tudom, hogy erősen függ a hardvertől, de talán valaki meg tudná adni egy becslést, hogy mennyi időt vesz igénybe a kettős mag 2GHZ-val vagy bármi mással, hogy legyen egy referenciakeret a hardver számára.
Ahhoz, hogy egy ilyen jelszót megtámadjanak, nemcsak az összes kombinációra van szükség, hanem minden egyes kitalált jelszóval is meg kell próbálnunk visszafejteni, ami egy kis időt is igényel.
Szintén van-e olyan szoftver, amellyel a TrueCrypt brutális erővel csapkodhat, mert megpróbálom megpróbálni a saját jelszavamat törni, hogy lássam, mennyi ideig tart, ha tényleg „nagyon könnyű”.
Rövid véletlenszerű jelszavak jelennek meg valóban veszélyben?
A válasz
A SuperUser közreműködő Josh K. rávilágít arra, amit a támadónak szüksége lenne:
Ha a támadó hozzáférhet a jelszó hashhoz, akkor gyakran nagyon könnyű brutális erő, mivel egyszerűen csak jelszavakat jelez, amíg a hashes megegyezik.
A hash "strong" függ a jelszó tárolásának módjától. Egy MD5 hash kevesebb időt vehet igénybe, hogy egy SHA-512 hash generáljon.
A Windows-ok korábban (és még nem tudom) LM jelszavas formátumban tárolják a jelszavakat, amelyek a jelszót felsőbbé tették, és két 7 karakteres darabra osztották, amelyeket ezután megzavartak. Ha 15 jelszavú jelszava lenne, nem számít, mert csak az első 14 karaktert tárolta, és könnyű volt a nyers erő, mert nem volt nyers 14 karakterű jelszó, két 7 karakteres jelszót kényszerítettél.
Ha úgy érzi, hogy szükség van rá, töltsön le olyan programot, mint John The Ripper vagy Cain & Abel (visszatartott linkek), és tesztelje azt.
Emlékszem arra, hogy egy 200 000 hash-t generálhat egy másodpercig egy LM-hash esetében. Attól függően, hogy a Truecrypt tárolja a hash-t, és ha egy zárolt kötetből kinyerhető, több vagy kevesebb időbe telhet.
A brute force támadásokat gyakran használják, ha a támadónak nagy számú hashja van. Miután egy közös szótárat futtattak, gyakran elkezdnek gyalázni a jelszavakat közös brutális támadásokkal. Számozott jelszó akár tíz, kiterjesztett alfa és numerikus, alfanumerikus és közös szimbólumok, alfanumerikus és kiterjesztett szimbólumok. A támadás céljától függően változó sikert érhet el. Az egyik számla biztonságának veszélyeztetése gyakran nem cél.
Egy másik közreműködő, Phoshi kiterjeszti az ötletet:
A Brute-Force nem életképes támadás, nagyon soha. Ha a támadó nem tud semmit a jelszaváról, akkor 2020-ban nem éri el a brutális erőt. Ez változhat a jövőben, ahogy a hardver előrehaladása (pl. Az összes-sok-sok-has-has- most egy i7-es magot képez, amely jelentősen felgyorsítja a folyamatot (még mindig beszél évek)
Ha szuperbiztos akarsz lenni, akkor tegyen egy kiterjesztett ascii szimbólumot (Tartsd lenyomva az alt, használja a numerikus számot a 255-nél nagyobb szám beírásához). Ezzel eléggé biztosítva van, hogy egy egyszerű brutális erő haszontalan.
Aggódnia kell a truecrypt titkosítási algoritmusának esetleges hibáiról, amelyek sokkal könnyebbé tehetik a jelszót, és természetesen a világ legbonyolultabb jelszava használhatatlan, ha a használt gépet veszélyezteti.
Megjegyeznénk Phoshi válaszait: „A brutális erő nem életképes támadás, ha kifinomult jelenlegi generációs titkosítást használ, egészen soha”.
Amint azt a legutóbbi cikkünkben kiemeltük, a Brute-Force támadások magyarázata: hogyan érinti az összes titkosítás sebezhetőségét, a titkosítási sémák korát és a hardver teljesítményét növelik, így csak idő kérdése, mielőtt nehéz célpont volt (például a Microsoft NTLM jelszó titkosítási algoritmusa) néhány órán belül legyőzhető.
Van valami, amit hozzá kell adni a magyarázathoz? Kikapcsolja a megjegyzéseket. Szeretne további válaszokat olvasni más tech-savvy Stack Exchange felhasználóktól? Nézze meg a teljes beszélgetés szálát itt.