Du kender øvelsen: brug en lang og varieret adgangskode, brug ikke den samme adgangskode to gange, brug en anden adgangskode til hvert websted. Er det virkelig farligt at bruge et kort kodeord?
Dagens spørgsmål og svar-session kommer til os med tilladelse fra SuperUser - en underinddeling af Stack Exchange, en community-driven gruppe af Q&A websteder.
Spørgsmålet
SuperUser-læser user31073 er nysgerrig, om han virkelig skal være opmærksom på disse advarsler om kort adgangskode:
Når jeg bruger systemer som TrueCrypt, når jeg skal definere en ny adgangskode, bliver jeg ofte informeret om, at brug af en kort adgangskode er usikker og "meget let" at bryde med brutal kraft.
Jeg bruger altid adgangskoder på 8 tegn i længden, som ikke er baseret på ordbogsord, som består af tegn fra sættet A-Z, a-z, 0-9
Dvs. Jeg bruger adgangskode som sDvE98f1
Hvor let er det at knække et sådant kodeord med brutal kraft? Dvs. hvor hurtigt.
Jeg ved, det afhænger stærkt af hardwaren, men måske kunne nogen give mig et skøn, hvor lang tid det ville tage at gøre dette på en dobbeltkerne med 2GHZ eller hvad som helst for at have en referenceramme for hardwaren.
For at angribe et sådant kodeord er det nødvendigt, at man ikke kun cykler gennem alle kombinationer, men også prøver at dekryptere med hver gættet adgangskode, som også har brug for lidt tid.
Er der også noget software til brute-force hack TrueCrypt, fordi jeg vil prøve at brute-force knække mit eget kodeord for at se, hvor lang tid det tager, hvis det virkelig er så "meget let".
Er korte adgangskoder med tilfældigt tegn virkelig i fare?
Svaret
SuperUser-bidragyder Josh K. fremhæver, hvad angriberen har brug for:
Hvis angriberen kan få adgang til adgangskode-hash, er det ofte meget let at råbe kraft, da det simpelthen medfører hashing-adgangskoder, indtil hash-kampene matcher.
Hashstyrken afhænger af, hvordan adgangskoden gemmes. En MD5-hash kan tage kortere tid at generere derefter en SHA-512-hash.
Windows plejede at (og kan stadig, jeg ved det ikke) gemme adgangskoder i et LM-hash-format, som opskrev adgangskoden og delte den i to stykker på 7 tegn, som derefter blev hash. Hvis du havde en adgangskode på 15 tegn, ville det ikke have noget at gøre, fordi den kun lagrede de første 14 tegn, og det var let at råbe kraft, fordi du ikke var brutal og tvang en adgangskode på 14 tegn, men du tvang to 7-tegns adgangskoder.
Hvis du føler behov for det, skal du downloade et program som John The Ripper eller Cain & Abel (tilbageholdte links) og teste det.
Jeg husker, at jeg kunne generere 200.000 hashes et sekund til en LM-hash. Afhængigt af hvordan Truecrypt gemmer hashen, og hvis den kan hentes fra en låst lydstyrke, kan det tage mere eller mindre tid.
Brute force-angreb bruges ofte, når angriberen har et stort antal hashes at gennemgå. Efter at have kørt gennem en fælles ordbog, begynder de ofte at udrydde adgangskoder med almindelige brutale kraftangreb. Nummererede adgangskoder op til ti, udvidede alfa- og numeriske, alfanumeriske og almindelige symboler, alfanumeriske og udvidede symboler. Afhængigt af angrebets mål kan det føre med varierende succesrater. At forsøge at kompromittere især en kontos sikkerhed er ofte ikke målet.
En anden bidragyder, Phoshi udvider ideen:
Brute-Force er ikke et levedygtigt angreb , stort set nogensinde. Hvis angriberen ikke ved noget om din adgangskode, får han det ikke igennem brute-force denne side af 2020. Dette kan ændre sig i fremtiden, efterhånden som hardware skrider frem (for eksempel kan man bruge alt, hvor mange-det-har- nu kerner på en i7, der massivt fremskynder processen (stadig taler år, dog))
Hvis du vil være -sikker, skal du holde et udvidet-ascii-symbol derinde (Hold alt, brug numpad til at indtaste et nummer større end 255). At gøre det stort set sikrer, at en almindelig brutal kraft er ubrugelig.
Du skal være bekymret over potentielle mangler i truecrypt's krypteringsalgoritme, hvilket kan gøre det lettere at finde en adgangskode, og selvfølgelig er den mest komplekse adgangskode i verden ubrugelig, hvis den maskine, du bruger den på, er kompromitteret.
Vi vil kommentere Phoshis svar for at læse "Brute-force er ikke et levedygtigt angreb, når man bruger sofistikeret nuværende generationskryptering stort set nogensinde".
Som vi fremhævede i vores seneste artikel, Brute-Force angreb forklaret: Hvordan al kryptering er sårbar , krypteringsordninger øges, og hardwarekraft øges, så det er kun et spørgsmål om tid, før det, der tidligere var et hårdt mål (som Microsofts NTLM-adgangskodekrypteringsalgoritme), kan besejres på få timer.
Har du noget at tilføje til forklaringen? Lyder i kommentarerne. Vil du læse flere svar fra andre teknisk kyndige Stack Exchange-brugere? Tjek den fulde diskussionstråd her .
