Sie kennen die Übung: Verwenden Sie ein langes und abwechslungsreiches Passwort, verwenden Sie nicht zweimal dasselbe Passwort, sondern verwenden Sie für jede Site ein anderes Passwort. Ist die Verwendung eines kurzen Passworts wirklich so gefährlich?
Die heutige Frage-Antwort-Sitzung wird uns mit freundlicher Genehmigung von SuperUser zur Verfügung gestellt - einer Unterteilung von Stack Exchange, einer Community-gesteuerten Gruppierung von Q & A-Websites.
Die Frage
SuperUser Reader user31073 ist neugierig, ob er diese Kurzpasswort-Warnungen wirklich beachten sollte:
Wenn ich bei Systemen wie TrueCrypt ein neues Passwort definieren muss, werde ich häufig darüber informiert, dass die Verwendung eines kurzen Passworts unsicher und mit Brute-Force „sehr leicht“ zu brechen ist.
Ich verwende immer Passwörter mit einer Länge von 8 Zeichen, die nicht auf Wörterbuchwörtern basieren, die aus Zeichen aus der Menge A-Z, a-z, 0-9 bestehen
Das heißt, Ich benutze ein Passwort wie sDvE98f1
Wie einfach ist es, ein solches Passwort mit brutaler Gewalt zu knacken? Das heißt, wie schnell.
Ich weiß, dass es stark von der Hardware abhängt, aber vielleicht könnte mir jemand eine Schätzung geben, wie lange es dauern würde, dies auf einem Dual-Core mit 2 GHz oder was auch immer zu tun, um einen Referenzrahmen für die Hardware zu haben.
Um ein solches Passwort mit Brute-Force-Angriffen anzugreifen, muss man nicht nur alle Kombinationen durchlaufen, sondern auch versuchen, mit jedem erratenen Passwort zu entschlüsseln, was ebenfalls einige Zeit in Anspruch nimmt.
Gibt es auch eine Software zum Brute-Force-Hacken von TrueCrypt, weil ich versuchen möchte, mein eigenes Passwort mit Brute-Force zu knacken, um zu sehen, wie lange es dauert, wenn es wirklich so „sehr einfach“ ist.
Sind kurze Passwörter mit zufälligen Zeichen wirklich gefährdet?
Die Antwort
Der SuperUser-Mitarbeiter Josh K. hebt hervor, was der Angreifer benötigen würde:
Wenn der Angreifer Zugriff auf den Kennwort-Hash erhalten kann, ist es oft sehr einfach, Gewalt anzuwenden, da lediglich Hashing-Kennwörter erforderlich sind, bis die Hashes übereinstimmen.
Die Hash-Stärke hängt davon ab, wie das Passwort gespeichert wird. Ein MD5-Hash benötigt möglicherweise weniger Zeit zum Generieren als ein SHA-512-Hash.
Windows hat früher (und möglicherweise noch nicht, ich weiß nicht) Passwörter in einem LM-Hash-Format gespeichert, das das Passwort in Großbuchstaben geschrieben und in zwei 7-Zeichen-Blöcke aufgeteilt hat, die dann gehasht wurden. Wenn Sie ein 15-stelliges Passwort hätten, wäre dies nicht wichtig, da nur die ersten 14 Zeichen gespeichert wurden und es leicht zu erzwingen war, da Sie kein 14-stelliges Passwort erzwungen haben, sondern zwei 7-stellige Passwörter erzwungen haben.
Wenn Sie das Bedürfnis haben, laden Sie ein Programm wie John The Ripper oder Cain & Abel herunter (Links zurückgehalten) und testen Sie es.
Ich erinnere mich, dass ich 200.000 Hashes pro Sekunde für einen LM-Hash generieren konnte. Je nachdem, wie Truecrypt den Hash speichert und ob er von einem gesperrten Volume abgerufen werden kann, kann dies mehr oder weniger lange dauern.
Brute-Force-Angriffe werden häufig eingesetzt, wenn der Angreifer eine große Anzahl von Hashes ausführen muss. Nachdem sie ein gemeinsames Wörterbuch durchlaufen haben, werden sie häufig Passwörter mit üblichen Brute-Force-Angriffen aussortieren. Nummerierte Passwörter bis zu zehn, erweiterte alphanumerische, alphanumerische und allgemeine Symbole, alphanumerische und erweiterte Symbole. Je nach Ziel des Angriffs kann es zu unterschiedlichen Erfolgsraten kommen. Der Versuch, insbesondere die Sicherheit eines Kontos zu gefährden, ist oft nicht das Ziel.
Ein weiterer Mitwirkender, Phoshi, erweitert die Idee:
Brute-Force ist kein tragfähiger Angriff so ziemlich immer. Wenn der Angreifer nichts über Ihr Passwort weiß, erhält er es auf dieser Seite von 2020 nicht durch Brute-Force. Dies kann sich in Zukunft mit fortschreitender Hardware ändern (zum Beispiel könnte man alle verwenden, wie viele es hat). Jetzt Kerne auf einem i7, was den Prozess massiv beschleunigt (aber immer noch über Jahre).
Wenn Sie super-sicher sein möchten, kleben Sie dort ein erweitertes ASCII-Symbol ein (halten Sie die Alt-Taste gedrückt und geben Sie mit dem Nummernblock eine Zahl ein, die größer als 255 ist). Dies stellt so ziemlich sicher, dass eine einfache Brute-Force nutzlos ist.
Sie sollten sich Sorgen über mögliche Fehler im Verschlüsselungsalgorithmus von truecrypt machen, die das Auffinden eines Kennworts erheblich erleichtern könnten. Natürlich ist das komplexeste Kennwort der Welt nutzlos, wenn der Computer, auf dem Sie es verwenden, kompromittiert wird.
Wir würden Phoshis Antwort mit der Bemerkung kommentieren: "Brute-Force ist kein praktikabler Angriff, wenn man so gut wie nie eine hochentwickelte Verschlüsselung der aktuellen Generation verwendet."
Wie wir in unserem letzten Artikel hervorgehoben haben, Erklärte Brute-Force-Angriffe: Wie jede Verschlüsselung anfällig ist Das Alter der Verschlüsselungsschemata und die Hardwareleistung nehmen zu, sodass es nur eine Frage der Zeit ist, bis das, was früher ein hartes Ziel war (wie der NTLM-Passwortverschlüsselungsalgorithmus von Microsoft), innerhalb weniger Stunden besiegt werden kann.
Haben Sie der Erklärung etwas hinzuzufügen? Ton aus in den Kommentaren. Möchten Sie weitere Antworten von anderen technisch versierten Stack Exchange-Benutzern lesen? Den vollständigen Diskussionsthread finden Sie hier .
