Вы знаете, что делать: используйте длинный и разнообразный пароль, не используйте один и тот же пароль дважды, используйте разные пароли для каждого сайта. Неужели использование короткого пароля так опасно?
Сегодняшняя сессия вопросов и ответов проходит благодаря SuperUser - подразделению Stack Exchange, группы веб-сайтов вопросов и ответов, управляемой сообществом.
Вопрос
Читатель SuperUser user31073 интересуется, действительно ли ему следует прислушиваться к этим предупреждениям о коротких паролях:
Используя такие системы, как TrueCrypt, когда мне нужно определить новый пароль, мне часто сообщают, что использование короткого пароля небезопасно и «очень легко» взломать грубой силой.
Я всегда использую пароли длиной 8 символов, которые не основаны на словарных словах, которые состоят из символов из набора A-Z, a-z, 0-9
Т.е. Я использую пароль типа sDvE98f1
Насколько легко взломать такой пароль перебором? Т.е. как быстро.
Я знаю, что это сильно зависит от оборудования, но, возможно, кто-нибудь может дать мне оценку, сколько времени потребуется, чтобы сделать это на двухъядерном процессоре с частотой 2 ГГц или чем-то еще, чтобы иметь систему отсчета для оборудования.
Чтобы взломать такой пароль, нужно не только перебрать все комбинации, но и попытаться расшифровать каждый угаданный пароль, что также требует некоторого времени.
Кроме того, есть ли какое-нибудь программное обеспечение для взлома TrueCrypt методом перебора, потому что я хочу попытаться взломать мой собственный пароль, чтобы узнать, сколько времени потребуется, если это действительно так «очень просто».
Действительно ли рискуют короткие пароли из случайных символов?
Ответ
Автор SuperUser Джош К. подчеркивает, что может понадобиться злоумышленнику:
Если злоумышленник может получить доступ к хешу пароля, его часто очень просто подобрать, поскольку он просто влечет за собой хеширование паролей до совпадения хешей.
«Сила» хеш-функции зависит от того, как хранится пароль. Для создания хэша MD5 может потребоваться меньше времени, чем хеша SHA-512.
Windows использовала (и может все еще, я не знаю) хранить пароли в формате LM-хэша, в котором пароль был в верхнем регистре и разбит на два блока по 7 символов, которые затем хешировались. Если бы у вас был 15-символьный пароль, это не имело бы значения, потому что он хранит только первые 14 символов, и это было легко подобрать, потому что вы не пытались подобрать 14-символьный пароль, вы вводили два 7-символьных пароля.
Если вы чувствуете необходимость, скачайте такую программу, как John The Ripper или Cain & Abel (ссылки не указаны), и протестируйте ее.
Я помню, как я мог генерировать 200 000 хешей в секунду для хеша LM. В зависимости от того, как Truecrypt хранит хэш, и если его можно получить с заблокированного тома, это может занять больше или меньше времени.
Атаки методом грубой силы часто используются, когда злоумышленнику нужно пройти через большое количество хэшей. После просмотра общего словаря они часто начинают отбирать пароли с помощью обычных атак грубой силы. Пронумерованные пароли до десяти, расширенные буквенно-цифровые, буквенно-цифровые и общие символы, буквенно-цифровые и расширенные символы. В зависимости от цели атаки она может быть успешной. Попытка поставить под угрозу безопасность одной конкретной учетной записи часто не является целью.
Другой участник, Фоши, развивает идею:
Грубая сила не является жизнеспособной атакой , почти никогда. Если злоумышленник ничего не знает о вашем пароле, он не получает его с помощью грубой силы на этой стороне 2020 года. Это может измениться в будущем по мере развития оборудования (например, можно использовать все, что угодно-многие-имеет- теперь ядра на i7, что значительно ускоряет процесс (хотя все еще говорят годы))
Если вы хотите быть -супер-безопасным, вставьте туда символ расширенного ascii (удерживайте alt, используйте цифровую клавиатуру, чтобы ввести число больше 255). Это в значительной степени гарантирует, что простой перебор бесполезен.
Вы должны быть обеспокоены потенциальными недостатками в алгоритме шифрования truecrypt, которые могут значительно упростить поиск пароля, и, конечно же, самый сложный пароль в мире бесполезен, если компьютер, на котором вы его используете, взломан.
Мы бы прокомментировали ответ Фоши следующим образом: «Грубая сила не является жизнеспособной атакой при использовании сложного шифрования текущего поколения, практически всегда».
Как мы подчеркивали в нашей недавней статье, Объяснение атак грубой силы: насколько уязвимо все шифрование , возрастает срок службы схем шифрования и увеличивается мощность оборудования, поэтому то, что раньше было сложной целью (например, алгоритм шифрования паролей NTLM от Microsoft), станет возможным в считанные часы, это лишь вопрос времени.
Есть что добавить к объяснению? Отключи в комментариях. Хотите узнать больше ответов от других технически подкованных пользователей Stack Exchange? Ознакомьтесь с полной веткой обсуждения здесь .
