Du kjenner øvelsen: bruk et langt og variert passord, ikke bruk det samme passordet to ganger, bruk et annet passord for hvert nettsted. Er det veldig farlig å bruke et kort passord?
Dagens spørsmål og svar-økt kommer til oss med tillatelse fra SuperUser - en underavdeling av Stack Exchange, en samfunnsdrevet gruppe av spørsmål og svar-nettsteder.
Spørsmålet
SuperUser-leser bruker31073 er nysgjerrig på om han virkelig bør ta hensyn til advarslene om kortpassord:
Når jeg bruker systemer som TrueCrypt, når jeg må definere et nytt passord, blir jeg ofte informert om at det å bruke et kort passord er usikkert og "veldig enkelt" å bryte med brute-force.
Jeg bruker alltid passord på 8 tegn, som ikke er basert på ordboksord, som består av tegn fra settet A-Z, a-z, 0-9
Dvs. Jeg bruker passord som sDvE98f1
Hvor enkelt er det å knekke et slikt passord med brutal kraft? Dvs. hvor fort.
Jeg vet at det avhenger sterkt av maskinvaren, men kanskje noen kan gi meg et estimat hvor lang tid det vil ta å gjøre dette på en dobbel kjerne med 2 GHz eller hva som helst for å ha en referanseramme for maskinvaren.
For å angripe et slikt passord, må man ikke bare bla gjennom alle kombinasjoner, men også prøve å dekryptere med hvert gjettet passord som også trenger litt tid.
Også, er det noe programvare for å tøffe hack TrueCrypt fordi jeg vil prøve å brute-force knekke mitt eget passord for å se hvor lang tid det tar hvis det virkelig er "veldig enkelt".
Er korte passord med tilfeldige tegn virkelig i fare?
Svaret
SuperUser-bidragsyter Josh K. fremhever hva angriperen trenger:
Hvis angriperen kan få tilgang til passord-hash, er det ofte veldig lett å tøffe krefter, siden det ganske enkelt innebærer hashing-passord til hasjene stemmer overens.
Hash-styrken er avhengig av hvordan passordet lagres. En MD5-hash kan ta kortere tid å generere enn en SHA-512-hash.
Windows pleide å (og kan fremdeles, jeg vet ikke) lagre passord i et LM-hash-format, som oppskrev passordet og delte det i to biter på 7 tegn som deretter ble hash. Hvis du hadde et passord på 15 tegn, ville det ikke ha noe å si fordi det bare lagret de første 14 tegnene, og det var lett å tøffe fordi du ikke var brutal og tvang et passord på 14 tegn.
Hvis du føler behov, kan du laste ned et program som John The Ripper eller Cain & Abel (lenker tilbakeholdt) og teste det.
Jeg husker at jeg kunne generere 200 000 hashes i sekundet for en LM-hash. Avhengig av hvordan Truecrypt lagrer hasjen, og hvis den kan hentes fra et låst volum, kan det ta mer eller mindre tid.
Brute force-angrep brukes ofte når angriperen har et stort antall hashes å gå gjennom. Etter å ha kjørt gjennom en vanlig ordbok, vil de ofte begynne å luke passord ut med vanlige brutale kraftangrep. Nummererte passord opptil ti, utvidede alfa- og numeriske, alfanumeriske og vanlige symboler, alfanumeriske og utvidede symboler. Avhengig av angrepsmålet kan det føre til med varierende suksessrater. Å forsøke å kompromittere sikkerheten til spesielt en konto er ofte ikke målet.
En annen bidragsyter, Phoshi, utvider ideen:
Brute-Force er ikke et levedyktig angrep , ganske mye noensinne. Hvis angriperen ikke vet noe om passordet ditt, får han det ikke gjennom brute-force denne siden av 2020. Dette kan endre seg i fremtiden, ettersom maskinvaren går videre (for eksempel kan man bruke alt hvor mange-det-har- nå kjerner på en i7, massivt påskynde prosessen (Fortsatt å snakke år, skjønt))
Hvis du vil være -sikker, stikker du et utvidet ascii-symbol der inne (Hold alt, bruk numpad for å skrive inn et tall som er større enn 255). Å gjøre det garanterer ganske mye at en ren brutskraft er ubrukelig.
Du bør være bekymret for potensielle feil i truecrypt's krypteringsalgoritme, noe som kan gjøre det enklere å finne et passord, og selvfølgelig er det mest komplekse passordet i verden ubrukelig hvis maskinen du bruker det på er kompromittert.
Vi vil kommentere Phoshis svar for å lese "Brute-force is not a levable attack, when using sofistified current generation kryptering, pretty much ever".
Som vi fremhevet i vår ferske artikkel, Brute-Force-angrep forklart: Hvordan all kryptering er sårbar , krypteringsordninger øker og maskinvarekraft øker, så det er bare et spørsmål om tid før det som tidligere var et vanskelig mål (som Microsofts NTLM-passordkrypteringsalgoritme), kan overvinnes i løpet av noen få timer.
Har du noe å legge til forklaringen? Hør av i kommentarene. Vil du lese flere svar fra andre teknologikyndige Stack Exchange-brukere? Sjekk ut hele diskusjonstråden her .
