Cvičení znáte: používejte dlouhé a rozmanité heslo, nepoužívejte dvakrát stejné heslo, používejte pro každý web jiné heslo. Je používání krátkého hesla opravdu tak nebezpečné?
Dnešní relace Otázky a odpovědi k nám přichází s laskavým svolením SuperUser - členění Stack Exchange, komunitního seskupení webů otázek a odpovědí.
Otázka
Uživatel čtečky SuperUser user31073 je zvědavý, zda by měl skutečně dbát těchto upozornění na krátké heslo:
Když používám systémy jako TrueCrypt, když musím definovat nové heslo, jsem často informován, že použití krátkého hesla je nezabezpečené a „velmi snadno“ se dá zlomit hrubou silou.
Vždy používám hesla o délce 8 znaků, která nejsou založena na slovníkových slovech, která se skládají ze znaků ze sady A-Z, a-z, 0-9
Tj. Používám heslo jako sDvE98f1
Jak snadné je prolomit takové heslo hrubou silou? Tj. jak rychle.
Vím, že to silně závisí na hardwaru, ale možná by mi někdo mohl odhadnout, jak dlouho by to trvalo na dvoujádrovém procesoru s 2GHZ nebo cokoli jiného, aby měl referenční rámec pro hardware.
Aby bylo možné takové heslo napadnout hrubou silou, je třeba nejen procházet všemi kombinacemi, ale také se pokusit dešifrovat pomocí každého uhádnutého hesla, což také vyžaduje určitý čas.
Existuje také nějaký software pro brute-force hack TrueCrypt, protože chci zkusit brute-force prolomit své vlastní heslo, abych zjistil, jak dlouho to trvá, pokud je to opravdu „velmi snadné“.
Jsou krátká hesla s náhodnými znaky skutečně ohrožena?
Odpověď
Přispěvatel SuperUser Josh K. zdůrazňuje, co by útočník potřeboval:
Pokud může útočník získat přístup k hash hesla, je často velmi snadné hrubou silou, protože to jednoduše zahrnuje hashování hesel, dokud se hash neshoduje.
„Síla“ hodnoty hash závisí na tom, jak je heslo uloženo. Generování hash MD5 může trvat méně času než hash SHA-512.
Windows zvykla (a možná stále, nevím) ukládat hesla ve formátu hash LM, který heslo převyšoval a rozdělil ho na dva 7místné bloky, které byly poté hašovány. Pokud byste měli 15místné heslo, nevadilo by to, protože se v něm uložilo pouze prvních 14 znaků, a bylo snadné hrubou silou vynutit, že jste nebrzdili vynucením hesla o 14 znacích, vy jste hrubou vynucovali dvě 7místná hesla.
Pokud cítíte potřebu, stáhněte si program, jako je John The Ripper nebo Cain & Abel (odkazy odmítnuty), a otestujte jej.
Vzpomínám si, že jsem schopen generovat 200 000 hashů za sekundu pro hash LM. V závislosti na tom, jak Truecrypt ukládá hash, a pokud jej lze načíst z uzamčeného svazku, může to trvat více či méně času.
Útoky hrubou silou se často používají, když má útočník projít velkým počtem hashů. Po spuštění společného slovníku často začnou odstraňovat hesla pomocí běžných útoků hrubou silou. Číslovaná hesla do deseti, rozšířené alfanumerické a alfanumerické a běžné symboly, alfanumerické a rozšířené symboly. V závislosti na cíli útoku může vést s různou úspěšností. Pokus o narušení bezpečnosti konkrétního jednoho účtu často není cílem.
Další přispěvatel, Phoshi, rozšiřuje myšlenku:
Brute-Force není životaschopný útok , skoro vůbec. Pokud útočník neví nic o vašem hesle, nedostává ho skrze hrubou sílu na této straně roku 2020. To se může v budoucnu změnit, protože hardware postupuje (Například by bylo možné použít vše, co má mnoho - má - nyní pracuje na i7, což výrazně urychluje proces (i když stále mluví roky))
Pokud chcete být -super- zabezpečeni, vložte tam symbol rozšířené ascii (podržte alt, pomocí numerické klávesnice zadejte číslo větší než 255). Tím se do značné míry zajistí, že prostá hrubá síla je zbytečná.
Měli byste se obávat potenciálních nedostatků šifrovacího algoritmu truecrypt, což by mohlo hledání hesla mnohem usnadnit, a samozřejmě, nejsložitější heslo na světě je k ničemu, pokud je kompromitován stroj, na kterém ho používáte.
Chtěli bychom anotovat odpověď Phoshi na přečtení „Brute-force není životaschopný útok, při použití sofistikovaného šifrování současné generace, téměř vůbec“.
Jak jsme zdůraznili v našem nedávném článku, Vysvětlení útoků hrubou silou: Jak je celé šifrování zranitelné , zvyšuje se věk šifrovacích schémat a zvyšuje se výkon hardwaru, takže je jen otázkou času, kdy to, co bývalo tvrdým cílem (například šifrovací algoritmus hesla NTLM od společnosti Microsoft), bude porazitelné během několika hodin.
Máte co dodat k vysvětlení? Zvuk v komentářích. Chcete si přečíst více odpovědí od ostatních technicky zdatných uživatelů Stack Exchange? Podívejte se na celé diskusní vlákno zde .
