आप ड्रिल जानते हैं: एक लंबे और विविध पासवर्ड का उपयोग करें, दो बार एक ही पासवर्ड का उपयोग न करें, हर साइट के लिए एक अलग पासवर्ड का उपयोग करें। क्या एक छोटा पासवर्ड वास्तव में खतरनाक है?
आज का प्रश्न और उत्तर सत्र सुपरयूज़र के सौजन्य से आता है - स्टैक एक्सचेंज का एक उपखंड, जो कि क्यू एंड ए वेब साइटों का एक समुदाय-संचालित समूह है।
प्रश्न
SuperUser रीडर user31073 उत्सुक है कि क्या उसे वास्तव में उन शॉर्ट-पासवर्ड चेतावनियों पर ध्यान देना चाहिए:
ट्रू-क्रिप्ट जैसी प्रणालियों का उपयोग करते समय, जब मुझे एक नया पासवर्ड परिभाषित करना होता है तो मुझे अक्सर सूचित किया जाता है कि एक संक्षिप्त पासवर्ड का उपयोग करना असुरक्षित और "बहुत आसान है" जानवर-बल द्वारा तोड़ना।
मैं हमेशा लंबाई में 8 वर्णों के पासवर्ड का उपयोग करता हूं, जो शब्दकोश शब्दों पर आधारित नहीं हैं, जिसमें सेट ए-जेड, ए-जेड, 0-9 से वर्ण शामिल हैं
अर्थात। मैं sDvE98f1 जैसे पासवर्ड का उपयोग करता हूं
ब्रूट-फोर्स द्वारा ऐसे पासवर्ड को क्रैक करना कितना आसान है? अर्थात। कितना तेज।
मुझे पता है कि यह हार्डवेयर पर बहुत अधिक निर्भर करता है, लेकिन शायद कोई मुझे यह अनुमान दे सकता है कि 2GHZ के साथ दोहरे कोर पर ऐसा करने में कितना समय लगेगा या जो भी हार्डवेयर के लिए संदर्भ का एक फ्रेम होगा।
इस तरह के पासवर्ड पर हमला करने के लिए न केवल सभी संयोजनों के माध्यम से साइकिल चलाने की आवश्यकता होती है, बल्कि प्रत्येक अनुमानित पासवर्ड के साथ डिक्रिप्ट करने की भी कोशिश की जाती है, जिसमें कुछ समय की आवश्यकता होती है।
इसके अलावा, ट्रू-क्रिप्ट हैक करने के लिए ब्रूट-फोर्स हैक करने के लिए कुछ सॉफ्टवेयर है क्योंकि मैं अपने खुद के पासवर्ड को ब्रेक-फोर्स क्रैक करने की कोशिश करना चाहता हूं, यह देखने के लिए कि यह वास्तव में बहुत आसान है तो कितना समय लगता है।
क्या छोटे यादृच्छिक चरित्र वाले पासवर्ड वास्तव में जोखिम में हैं?
उत्तर
सुपरयूजर के योगदानकर्ता जोश के। पर प्रकाश डाला गया कि हमलावर को क्या चाहिए:
यदि हमलावर पासवर्ड हैश तक पहुँच प्राप्त कर सकता है, तो बल को भंग करना अक्सर बहुत आसान होता है क्योंकि यह केवल हैश मैच तक हैशिंग पासवर्ड दर्ज करता है।
हैश "स्ट्रेंथ" इस बात पर निर्भर करता है कि पासवर्ड कैसे स्टोर किया जाता है। एक MD5 हैश को तब SHA-512 हैश उत्पन्न करने में कम समय लग सकता है।
Windows का उपयोग (और अभी भी हो सकता है, मुझे पता नहीं है) एक LM हैश प्रारूप में पासवर्ड स्टोर करें, जिसने पासवर्ड को अपरकेस किया और इसे दो 7 कैरेक्टर चंक्स में विभाजित किया जो तब हैशेड थे। यदि आपके पास 15 वर्ण का पासवर्ड है, तो यह कोई मायने नहीं रखेगा क्योंकि यह केवल पहले 14 वर्णों को संग्रहीत करता है, और यह बल को भंग करना आसान था, क्योंकि आप 14 वर्ण पासवर्ड के लिए बाध्य नहीं थे, आप दो 7 वर्ण पासवर्ड के लिए बाध्य थे।
यदि आपको आवश्यकता महसूस होती है, तो जॉन द रिपर या कैन एंड एबेल (लिंक को रोक दिया गया) जैसे प्रोग्राम को डाउनलोड करें और उसका परीक्षण करें।
मुझे याद है कि एलएम हैश के लिए 200,000 हैश सेकेंड जेनरेट करने में सक्षम है। इस पर निर्भर करता है कि Truecrypt कैसे हैश को स्टोर करता है, और अगर इसे लॉक वॉल्यूम से पुनर्प्राप्त किया जा सकता है, तो इसे अधिक या कम समय लग सकता है।
ब्रूट बल के हमलों का उपयोग अक्सर किया जाता है जब हमलावर के पास जाने के लिए बड़ी संख्या में हैश होते हैं। एक आम शब्दकोश के माध्यम से चलने के बाद वे अक्सर आम जानवर बल के हमलों के साथ पासवर्ड निराकरण शुरू कर देंगे। दस तक की संख्या वाले पासवर्ड, विस्तारित अल्फा और न्यूमेरिक, अल्फ़ान्यूमेरिक और सामान्य प्रतीक, अल्फ़ान्यूमेरिक और विस्तारित प्रतीक। हमले के लक्ष्य के आधार पर यह अलग-अलग सफलता दर के साथ नेतृत्व कर सकता है। विशेष रूप से एक खाते की सुरक्षा से समझौता करने का प्रयास अक्सर लक्ष्य नहीं होता है।
एक अन्य योगदानकर्ता, फोजी ने इस विचार पर विस्तार दिया:
ब्रूट-फोर्स एक व्यवहार्य हमला नहीं है , बहुत बहुत। यदि हमलावर को आपके पासवर्ड के बारे में कुछ भी नहीं पता है, तो वह 2020 के इस पक्ष के माध्यम से इसे बल के माध्यम से प्राप्त नहीं कर रहा है। यह भविष्य में बदल सकता है, हार्डवेयर एडवांस के रूप में (उदाहरण के लिए, कोई भी सभी का उपयोग कर सकता है, लेकिन यह अब i7 पर कोर, सामूहिक रूप से इस प्रक्रिया को तेज कर रहा है (फिर भी बात कर रहे साल, हालांकि)
यदि आप सुरक्षित होना चाहते हैं- सुरक्षित, तो वहां एक विस्तारित-असिसी प्रतीक चिपकाएं (Alt दबाए रखें, संख्या का उपयोग 255 से बड़ी संख्या में टाइप करने के लिए करें)। ऐसा करना बहुत आश्वस्त करता है कि एक सादा जानवर-बल बेकार है।
आपको ट्रुकक्रिप्ट के एन्क्रिप्शन एल्गोरिथ्म में संभावित खामियों के बारे में चिंतित होना चाहिए, जो पासवर्ड को बहुत आसान बना सकता है, और निश्चित रूप से, दुनिया में सबसे जटिल पासवर्ड बेकार है अगर आप जिस मशीन का उपयोग कर रहे हैं वह समझौता है।
जब हम परिष्कृत वर्तमान पीढ़ी एन्क्रिप्शन का उपयोग कर रहे हैं, तो "पशु-बल कोई व्यवहार्य हमला नहीं है, यह पढ़ने के लिए हम जोशी के जवाब की व्याख्या करेंगे।"
जैसा कि हमने अपने हालिया लेख में प्रकाश डाला है, Brute-Force हमलों की व्याख्या: कैसे सभी एन्क्रिप्शन कमजोर है , एन्क्रिप्शन योजनाओं की उम्र और हार्डवेयर की शक्ति बढ़ जाती है, इसलिए यह केवल कुछ समय पहले की बात है जो एक कठिन लक्ष्य (जैसे कि Microsoft का NTLM पासवर्ड एन्क्रिप्शन एल्गोरिथम) का उपयोग किया जाता है, कुछ ही घंटों में पराजित हो जाता है।
स्पष्टीकरण में कुछ जोड़ना है? टिप्पणियों में ध्वनि बंद। अन्य टेक-सेवी स्टैक एक्सचेंज उपयोगकर्ताओं से अधिक जवाब पढ़ना चाहते हैं? पूरी चर्चा धागा यहाँ देखें .
