Știți drillul: utilizați o parolă lungă și variată, nu utilizați aceeași parolă de două ori, folosiți o parolă diferită pentru fiecare site. Este cu adevărat atât de periculos să folosești o parolă scurtă?
Sesiunea de Întrebări și Răspunsuri de astăzi ne vine prin amabilitatea SuperUser - o subdiviziune a Stack Exchange, un grup de site-uri web de întrebări și răspunsuri bazat pe comunitate.
Intrebarea
Cititorul SuperUser user31073 este curios dacă ar trebui să țină cont cu adevărat de aceste avertismente cu parolă scurtă:
Folosind sisteme precum TrueCrypt, când trebuie să definesc o parolă nouă, sunt deseori informat că utilizarea unei parole scurte este nesigură și „foarte ușor” de rupt prin forță brută.
Folosesc întotdeauna parole cu o lungime de 8 caractere, care nu se bazează pe cuvinte din dicționar, care constă din caractere din setul A-Z, a-z, 0-9
Adică Folosesc parola precum sDvE98f1
Cât de ușor este de a sparge o astfel de parolă prin forță brută? Adică cât de repede.
Știu că depinde în mare măsură de hardware, dar poate cineva mi-ar putea da o estimare cât ar dura acest lucru pe un dual core cu 2GHZ sau orice altceva pentru a avea un cadru de referință pentru hardware.
Pentru a ataca cu forță brută o astfel de parolă, nu trebuie doar să parcurgeți toate combinațiile, ci și să încercați să decriptați cu fiecare parolă ghicită, care are nevoie și de ceva timp.
De asemenea, există unele programe pentru a hack TrueCrypt cu forță brută, deoarece vreau să încerc să-mi sparg propria parolă cu forța brută pentru a vedea cât durează dacă este într-adevăr atât de „foarte ușor”.
Parolele scurte cu caractere aleatoare sunt cu adevărat în pericol?
Răspunsul
Contribuitorul SuperUser, Josh K., subliniază de ce ar avea nevoie atacatorul:
Dacă atacatorul poate obține acces la hash-ul parolei, este adesea foarte ușor să forțezi bruta, deoarece presupune pur și simplu parole hash până când se potrivesc hashurile.
„Puterea” hashului depinde de modul în care este stocată parola. Un hash MD5 poate dura mai puțin timp pentru a genera un hash SHA-512.
Windows obișnuia să stocheze (și poate, încă nu știu) parolele într-un format hash LM, care majusculă parola și o împărțea în două bucăți de 7 caractere care erau apoi hash. Dacă ați avea o parolă de 15 caractere, nu ar conta pentru că a stocat doar primele 14 caractere și a fost ușor să forțați brutați deoarece nu erați forțat să introduceți o parolă de 14 caractere, ci forțați două parole de 7 caractere.
Dacă simțiți nevoia, descărcați un program precum John The Ripper sau Cain & Abel (link-uri reținute) și testați-l.
Îmi amintesc că am putut genera 200.000 hashuri pe secundă pentru un hash LM. În funcție de modul în care Truecrypt stochează hash-ul și dacă poate fi preluat dintr-un volum blocat, ar putea dura mai mult sau mai puțin timp.
Atacurile cu forță brută sunt adesea folosite atunci când atacatorul are un număr mare de hash-uri. După ce parcurg un dicționar comun, vor începe adesea să elimine parolele cu atacuri comune de forță brută. Parole numerotate până la zece, alfa extinsă și simboluri numerice, alfanumerice și comune, simboluri alfanumerice și extinse. În funcție de obiectivul atacului, acesta poate conduce cu rate de succes variate. Încercarea de a compromite securitatea unui cont în special nu este adesea obiectivul.
Un alt colaborator, Phoshi extinde ideea:
Forța brută nu este un atac viabil , cam vreodată. Dacă atacatorul nu știe nimic despre parola dvs., nu o primește prin forța brută în această parte a anului 2020. Acest lucru se poate schimba în viitor, pe măsură ce hardware-ul avansează (De exemplu, s-ar putea folosi toate, totuși, multe-are-are- acum nucleele de pe un i7, accelerând masiv procesul (totuși vorbesc ani, totuși))
Dacă doriți să fiți foarte sigur, lipiți acolo un simbol ascii extins (țineți apăsat alt, utilizați tastatura numerică pentru a introduce un număr mai mare de 255). Dacă faceți asta, veți asigura că o forță brută simplă este inutilă.
Ar trebui să vă îngrijoreze potențialele defecte ale algoritmului de criptare truecrypt, care ar putea facilita găsirea unei parole și, desigur, cea mai complexă parolă din lume este inutilă dacă aparatul pe care îl utilizați este compromis.
Am adnota răspunsul lui Phoshi pentru a citi „Forța brută nu este un atac viabil, atunci când se utilizează criptarea sofisticată de generație curentă, cam aproape vreodată”.
După cum am evidențiat în articolul nostru recent, Atacuri cu forță brută explicate: modul în care toată criptarea este vulnerabilă , schemele de criptare îmbătrânesc și puterea hardware crește, așa că este doar o chestiune de timp înainte ca ceea ce a fost o țintă dificilă (cum ar fi algoritmul de criptare a parolei NTLM de la Microsoft) să fie înfrânat în câteva ore.
Aveți ceva de adăugat la explicație? Sună în comentarii. Doriți să citiți mai multe răspunsuri de la alți utilizatori ai Stack Exchange? Consultați aici firul complet de discuție .
