Znasz zasadę: użyj długiego i zróżnicowanego hasła, nie używaj dwa razy tego samego hasła, używaj innego hasła dla każdej witryny. Czy używanie krótkiego hasła jest naprawdę takie niebezpieczne?
Dzisiejsza sesja pytań i odpowiedzi jest dostępna dzięki uprzejmości SuperUser - części Stack Exchange, grupy witryn internetowych z pytaniami i odpowiedziami.
Pytanie
Czytnik SuperUser user31073 jest ciekawy, czy naprawdę powinien zwracać uwagę na ostrzeżenia o krótkich hasłach:
Korzystając z systemów takich jak TrueCrypt, kiedy muszę zdefiniować nowe hasło, często jestem informowany, że używanie krótkiego hasła jest niebezpieczne i „bardzo łatwe” do złamania brutalną siłą.
Zawsze używam haseł o długości 8 znaków, które nie są oparte na słowach słownikowych, które składają się ze znaków ze zbioru A-Z, a-z, 0-9
To znaczy. Używam hasła jak sDvE98f1
Jak łatwo złamać takie hasło brutalną siłą? To znaczy. jak szybko.
Wiem, że to w dużej mierze zależy od sprzętu, ale może ktoś mógłby mi oszacować, ile czasu zajmie zrobienie tego na dwurdzeniowym z 2GHZ lub czymkolwiek, aby mieć ramkę odniesienia dla sprzętu.
Aby wykonać brutalny atak na takie hasło, trzeba nie tylko przejść przez wszystkie kombinacje, ale także spróbować odszyfrować każde odgadnięte hasło, co również wymaga czasu.
Czy jest też jakieś oprogramowanie do brutalnego włamania do TrueCrypt, ponieważ chcę spróbować złamać brutalnie moje własne hasło, aby zobaczyć, ile czasu to zajmie, jeśli jest to naprawdę „bardzo łatwe”.
Czy krótkie hasła o losowych znakach są naprawdę zagrożone?
Odpowiedź
Współautor SuperUser Josh K. podkreśla, czego potrzebowałby atakujący:
Jeśli atakujący może uzyskać dostęp do skrótu hasła, często bardzo łatwo jest użyć siły, ponieważ polega po prostu na haszowaniu haseł, dopóki skróty nie będą się zgadzać.
„Siła” skrótu zależy od sposobu przechowywania hasła. Wygenerowanie skrótu MD5 może zająć mniej czasu niż skrótu SHA-512.
Windows kiedyś (i może nadal nie wiem) przechowywał hasła w formacie LM, który tworzył wielkie litery hasła i dzielił je na dwie 7-znakowe części, które następnie były szyfrowane. Gdybyś miał 15-znakowe hasło, nie miałoby to znaczenia, ponieważ zawierało tylko pierwsze 14 znaków i łatwo było użyć brutalnej siły, ponieważ nie byłeś brutalny na wymuszaniu 14-znakowego hasła, byłeś brutalny na wymuszaniu dwóch 7-znakowych haseł.
Jeśli czujesz taką potrzebę, pobierz program, taki jak John The Ripper lub Cain & Abel (linki wstrzymane) i przetestuj go.
Pamiętam, że mogłem wygenerować 200 000 hashów na sekundę dla skrótu LM. W zależności od tego, jak Truecrypt przechowuje skrót i czy można go pobrać z zablokowanego woluminu, może to zająć więcej lub mniej czasu.
Ataki siłowe są często używane, gdy atakujący ma do przejścia dużą liczbę skrótów. Po przejrzeniu wspólnego słownika często zaczynają usuwać hasła za pomocą typowych ataków siłowych. Numerowane hasła do dziesięciu, rozszerzone alfanumeryczne, alfanumeryczne i popularne symbole, alfanumeryczne i rozszerzone symbole. W zależności od celu ataku może on prowadzić z różnymi wskaźnikami sukcesu. Próba naruszenia bezpieczeństwa w szczególności jednego konta często nie jest celem.
Inny współautor, Phoshi, rozwija ten pomysł:
Brute-Force nie jest skutecznym atakiem prawie zawsze. Jeśli atakujący nic nie wie o Twoim haśle, nie przejdzie przez brutalną siłę po tej stronie 2020 roku. Może się to zmienić w przyszłości wraz z rozwojem sprzętu (na przykład można użyć wszystkiego, ile ma teraz rdzenie na i7, znacznie przyspieszając proces (choć wciąż mówimy o latach))
Jeśli chcesz być super-bezpieczny, umieść tam symbol rozszerzonego ascii (przytrzymaj alt, użyj klawiatury numerycznej, aby wpisać liczbę większą niż 255). W ten sposób zapewnia się, że zwykła brutalna siła jest bezużyteczna.
Powinieneś obawiać się potencjalnych błędów w algorytmie szyfrowania truecrypt, które mogą znacznie ułatwić znalezienie hasła. Oczywiście, najbardziej złożone hasło na świecie jest bezużyteczne, jeśli komputer, na którym go używasz, zostanie przejęty.
W odpowiedzi Phoshiego napisalibyśmy adnotację: „Brute-force nie jest realnym atakiem, gdy używa się wyrafinowanego szyfrowania obecnej generacji, prawie zawsze”.
Jak podkreśliliśmy w naszym ostatnim artykule, Wyjaśnienie ataków siłowych: w jaki sposób wszystkie szyfrowanie jest podatne na ataki , starzeją się schematy szyfrowania i zwiększają się moc sprzętu, więc to tylko kwestia czasu, zanim to, co kiedyś było twardym celem (jak algorytm szyfrowania haseł NTLM firmy Microsoft), zostanie pokonane w ciągu kilku godzin.
Masz coś do dodania do wyjaśnienia? Dźwięk w komentarzach. Chcesz przeczytać więcej odpowiedzi od innych zaawansowanych technicznie użytkowników Stack Exchange? Sprawdź cały wątek dyskusji tutaj .
