Você sabe o que fazer: use uma senha longa e variada, não use a mesma senha duas vezes, use uma senha diferente para cada site. Usar uma senha curta é realmente perigoso?
A sessão de perguntas e respostas de hoje chega até nós como cortesia do SuperUser - uma subdivisão do Stack Exchange, um grupo de sites de perguntas e respostas voltado para a comunidade
A questão
O leitor SuperUser user31073 está curioso para saber se ele realmente deve prestar atenção a esses avisos de senha curta:
Usando sistemas como TrueCrypt, quando tenho que definir uma nova senha, muitas vezes sou informado que usar uma senha curta é inseguro e “muito fácil” de quebrar com força bruta.
Eu sempre uso senhas de 8 caracteres, que não são baseadas em palavras do dicionário, que consistem em caracteres do conjunto A-Z, a-z, 0-9
Ou seja Eu uso uma senha como sDvE98f1
Quão fácil é quebrar tal senha com força bruta? Ou seja quão rápido.
Eu sei que depende muito do hardware, mas talvez alguém possa me dar uma estimativa de quanto tempo levaria para fazer isso em um dual core com 2 GHz ou qualquer outro para ter um quadro de referência para o hardware.
Para um ataque de força bruta com tal senha, é necessário não apenas percorrer todas as combinações, mas também tentar descriptografar cada senha adivinhada, o que também requer algum tempo.
Além disso, existe algum software para hackear TrueCrypt com força bruta porque eu quero tentar quebrar minha própria senha com força bruta para ver quanto tempo leva se for realmente tão “muito fácil”.
As senhas curtas com caracteres aleatórios estão realmente em risco?
A resposta
O contribuidor do superusuário Josh K. destaca o que o invasor precisa:
Se o invasor pode obter acesso ao hash da senha, geralmente é muito fácil usar a força bruta, pois isso simplesmente envolve o hash das senhas até que os hashes correspondam.
A “força” do hash depende de como a senha é armazenada. Um hash MD5 pode levar menos tempo para gerar que um hash SHA-512.
O Windows costumava (e ainda pode, não sei) armazenar senhas em um formato hash LM, que colocava a senha em letras maiúsculas e a dividia em dois blocos de 7 caracteres que eram então hash. Se você tivesse uma senha de 15 caracteres, não importaria, porque ela armazenava apenas os primeiros 14 caracteres, e era fácil usar a força bruta porque você não estava usando a força bruta de uma senha de 14 caracteres, mas sim duas senhas de 7 caracteres.
Se você sentir necessidade, baixe um programa como John The Ripper ou Cain & Abel (links retidos) e teste-o.
Lembro-me de ser capaz de gerar 200.000 hashes por segundo para um hash LM. Dependendo de como o Truecrypt armazena o hash, e se ele pode ser recuperado de um volume bloqueado, pode levar mais ou menos tempo.
Os ataques de força bruta costumam ser usados quando o invasor tem um grande número de hashes para percorrer. Depois de percorrer um dicionário comum, eles geralmente começam a eliminar as senhas com ataques de força bruta comuns. Palavras-passe numeradas até dez, alfanuméricos alargados e símbolos alfanuméricos e comuns, símbolos alfanuméricos e alargados. Dependendo do objetivo do ataque, ele pode liderar com taxas de sucesso variáveis. Tentar comprometer a segurança de uma conta em particular muitas vezes não é o objetivo.
Outro colaborador, Phoshi expande a ideia:
Força bruta não é um ataque viável , quase sempre. Se o invasor não souber nada sobre sua senha, ele não a está obtendo por meio de força bruta neste lado de 2020. Isso pode mudar no futuro, à medida que o hardware avança (por exemplo, pode-se usar todos os quantos-tiver- agora núcleos em um i7, acelerando enormemente o processo (ainda falando há anos))
Se você quiser ser -super-seguro, coloque um símbolo ASCII estendido ali (segure alt, use o teclado numérico para digitar um número maior que 255). Fazer isso praticamente garante que uma força bruta simples é inútil.
Você deve se preocupar com possíveis falhas no algoritmo de criptografia do truecrypt, o que pode tornar a localização de uma senha muito mais fácil e, claro, a senha mais complexa do mundo é inútil se a máquina em que você a está usando estiver comprometida.
Gostaríamos de anotar a resposta de Phoshi ao ler "A força bruta não é um ataque viável, ao usar criptografia sofisticada da geração atual, praticamente nunca".
Como destacamos em nosso artigo recente, Explicação dos ataques de força bruta: como toda a criptografia é vulnerável , os esquemas de criptografia envelhecem e a potência do hardware aumenta, então é apenas uma questão de tempo antes que o que costumava ser um alvo difícil (como o algoritmo de criptografia de senha NTLM da Microsoft) seja derrotado em questão de horas.
Tem algo a acrescentar à explicação? Soe fora nos comentários. Quer ler mais respostas de outros usuários do Stack Exchange com experiência em tecnologia? Confira o tópico de discussão completo aqui .
