ドリルをご存知でしょう。長くて多様なパスワードを使用し、同じパスワードを2回使用しないでください。サイトごとに、異なるパスワードを使用してください。短いパスワードを使用することは本当に危険ですか?
今日の質疑応答セッションは、コミュニティ主導のQ&AWebサイトのグループであるStackExchangeの下位区分であるSuperUserの好意で行われます。
質問
スーパーユーザーリーダーuser31073は、これらの短いパスワードの警告に本当に注意する必要があるかどうかに興味があります。
TrueCryptのようなシステムを使用して、新しいパスワードを定義する必要がある場合、短いパスワードを使用することは安全ではなく、ブルートフォースによって「非常に簡単に」破られるとよく言われます。
私は常に長さが8文字のパスワードを使用します。これは、A〜Z、a〜z、0〜9のセットの文字で構成される辞書の単語に基づいていません。
つまりsDvE98f1のようなパスワードを使用しています
そのようなパスワードをブルートフォースで解読するのはどれほど簡単ですか?つまりどのくらい速いのか。
ハードウェアに大きく依存していることは知っていますが、2GHZのデュアルコアなど、ハードウェアの参照フレームを使用してこれを行うのにかかる時間の見積もりを誰かが教えてくれるかもしれません。
このようなパスワードをブルートフォース攻撃するには、すべての組み合わせを繰り返すだけでなく、推測されたパスワードごとに復号化を試みる必要がありますが、これにも時間がかかります。
また、TrueCryptをブルートフォースハッキングするソフトウェアはありますか。自分のパスワードをブルートフォースクラッキングして、本当に「非常に簡単」であるかどうかを確認したいからです。
短いランダム文字のパスワードは本当に危険にさらされていますか?
答え
スーパーユーザーの寄稿者であるJoshK。は、攻撃者が必要とするものを強調しています。
攻撃者がパスワードハッシュにアクセスできる場合、ハッシュが一致するまでパスワードをハッシュするだけなので、ブルートフォース攻撃は非常に簡単です。
ハッシュの「強度」は、パスワードの保存方法によって異なります。 MD5ハッシュは、SHA-512ハッシュよりも生成にかかる時間が短い場合があります。
Windowsは、パスワードをLMハッシュ形式で保存していました(まだわかりませんが)。LMハッシュ形式では、パスワードが大文字になり、2つの7文字のチャンクに分割されてからハッシュされていました。 15文字のパスワードを使用している場合は、最初の14文字しか保存されていないため問題ありません。また、14文字のパスワードをブルートフォースするのではなく、2つの7文字のパスワードをブルートフォースするのは簡単でした。
必要に応じて、John The RipperやCain&Abel(リンクは非公開)などのプログラムをダウンロードしてテストしてください。
LMハッシュに対して1秒間に200,000ハッシュを生成できたことを思い出します。 Truecryptがハッシュを保存する方法に応じて、またロックされたボリュームからハッシュを取得できる場合は、多少時間がかかる可能性があります。
ブルートフォース攻撃は、攻撃者が通過するハッシュが多数ある場合によく使用されます。一般的な辞書を実行した後、彼らはしばしば一般的なブルートフォース攻撃でパスワードを取り除き始めます。最大10個の番号付きパスワード、拡張アルファと数字、英数字と一般記号、英数字と拡張記号。攻撃の目的に応じて、さまざまな成功率で導くことができます。特に1つのアカウントのセキュリティを危険にさらそうとすることは、多くの場合、目標ではありません。
別の寄稿者であるPhoshiは、このアイデアを拡張します。
ブルートフォースは実行可能な攻撃ではありません 、ほとんどこれまで。攻撃者があなたのパスワードについて何も知らない場合、攻撃者は2020年のこちら側のブルートフォースを通過していません。これは、ハードウェアが進歩するにつれて、将来変更される可能性があります(たとえば、すべてのパスワードを使用できます。現在はi7をコアとしており、プロセスを大幅に高速化しています(ただし、まだ何年も話し合っています))
-超安全にしたい場合は、拡張ASCII記号をそこに貼り付けます(Altキーを押しながら、テンキーを使用して255より大きい数値を入力します)。そうすることで、単純なブルートフォースが役に立たないことがほぼ確実になります。
truecryptの暗号化アルゴリズムの潜在的な欠陥について心配する必要があります。これにより、パスワードを簡単に見つけることができます。もちろん、使用しているマシンが危険にさらされている場合、世界で最も複雑なパスワードは役に立ちません。
「高度な現世代の暗号化を使用している場合、ブルートフォースは実行可能な攻撃ではありません」というPhoshiの回答に注釈を付けます。
最近の記事で強調したように、 ブルートフォース攻撃の説明:すべての暗号化がどのように脆弱であるか 、暗号化スキームは古くなり、ハードウェアの能力が向上するため、以前はハードターゲットであったもの(MicrosoftのNTLMパスワード暗号化アルゴリズムなど)が数時間で無効になるのは時間の問題です。
説明に追加するものがありますか?コメントで音を立ててください。他の技術に精通したStackExchangeユーザーからの回答をもっと読みたいですか? ここで完全なディスカッションスレッドをチェックしてください 。
