Ви знаєте, що робити: використовуйте довгий та різноманітний пароль, не використовуйте один і той же пароль двічі, використовуйте інший пароль для кожного сайту. Чи справді використання короткого пароля є настільки небезпечним?
Сьогоднішня сесія запитань і відповідей надійшла до нас люб’язно від SuperUser - підрозділу Stack Exchange, угруповання веб-сайтів із питань та відповідей на основі спільноти.
Питання
Користувачеві читача SuperUser31073 цікаво, чи справді він повинен прислухатися до цих попереджень щодо короткого пароля:
Використовуючи такі системи, як TrueCrypt, коли мені доводиться визначати новий пароль, мені часто повідомляють, що використання короткого пароля є небезпечним і "дуже легко" зламатися грубою силою.
Я завжди використовую паролі довжиною 8 символів, які не засновані на словникових словах, що складається з символів з набору A-Z, a-z, 0-9
Тобто Я використовую пароль, такий як sDvE98f1
Наскільки легко зламати такий пароль грубою силою? Тобто як швидко.
Я знаю, що це сильно залежить від апаратного забезпечення, але, можливо, хтось може дати мені підрахунок, скільки часу знадобиться, щоб зробити це на двоядерному процесорі з 2 ГГц або будь-яким іншим, щоб мати систему відліку для апаратного забезпечення.
Для грубої атаки такого пароля потрібно не лише прокрутити всі комбінації, але й спробувати розшифрувати кожен загаданий пароль, який також потребує певного часу.
Крім того, чи існує якесь програмне забезпечення для грубої сили злому TrueCrypt, тому що я хочу спробувати застосувати грубу силу до мого власного пароля, щоб побачити, скільки часу потрібно, якщо це дійсно так «дуже просто».
Чи дійсно короткі паролі із випадковими символами ризикують?
Відповідь
Співробітник SuperUser Джош К. підкреслює, що потрібно зловмиснику:
Якщо зловмисник може отримати доступ до хешу паролів, часто дуже просто застосовувати грубу силу, оскільки це просто передбачає хешування паролів, поки хеші не збігаються.
“Надійність” хешу залежить від того, як зберігається пароль. Хеш MD5 може зайняти менше часу, ніж геш SHA-512.
Раніше Windows (і, можливо, ще не знаю) зберігала паролі у форматі хеш-коду LM, що вводило пароль великими літерами та розділяло його на два фрагменти із 7 символів, які потім хешували. Якби у вас був пароль із 15 символів, це не мало би значення, оскільки він містив лише перші 14 символів, і було легко застосувати грубу силу, тому що ви не грубо примушували 14 символів, ви грубо примушували два паролі з 7 символів.
Якщо ви відчуваєте необхідність, завантажте таку програму, як Джон Різник або Каїн та Авель (посилання утримано) і протестуйте її.
Я пам’ятаю, що міг генерувати 200000 хешів в секунду для хеша LM. Залежно від того, як Truecrypt зберігає хеш, і чи можна його отримати із заблокованого тома, це може зайняти більше або менше часу.
Атаки грубої сили часто застосовуються, коли зловмисник має пройти велику кількість хешів. Після проходження загального словника вони часто починають викорінювати паролі за допомогою загальних атак грубої сили. Нумеровані паролі до десяти, розширені буквено-цифрові, буквено-цифрові та загальні символи, буквено-цифрові та розширені символи. Залежно від мети атаки вона може вести з різними показниками успіху. Спроба скомпрометувати безпеку, зокрема, одного облікового запису, часто не є метою.
Ще один учасник Фоші продовжує ідею:
Brute-Force не є життєздатною атакою , майже ніколи. Якщо зловмисник нічого не знає про ваш пароль, він не отримує його за допомогою грубої сили з цієї сторони 2020 року. Це може змінитися в майбутньому, в міру прогресу апаратного забезпечення (наприклад, можна використовувати все, як-би-багато-він-має тепер ядра на i7, що значно прискорює процес (правда, ще багато років)
Якщо ви хочете бути надзахищеним, наклейте туди розширений символ ascii (утримуйте alt, за допомогою цифрової клавіатури введіть число більше 255). Це майже гарантує, що проста груба сила марна.
Вас повинні турбувати потенційні недоліки алгоритму шифрування truecrypt, що може значно полегшити пошук пароля, і, звичайно, найскладніший пароль у світі марний, якщо машина, на якій ви його використовуєте, порушена.
Відповідь Фоші ми б прокоментували таким чином: "Груба сила - це не життєздатна атака, коли ми використовуємо сучасне шифрування поточного покоління, майже ніколи".
Як ми вже підкреслювали в нашій нещодавній статті, Пояснення атак грубої сили: Наскільки все шифрування вразливе , вік схем шифрування та збільшення апаратної потужності, так що це лише питання часу, коли те, що раніше було жорсткою мішенню (наприклад, алгоритм шифрування паролів NTLM від Microsoft), буде усунено за лічені години.
Є що додати до пояснення? Звук у коментарях. Хочете прочитати більше відповідей від інших досвідчених користувачів Stack Exchange? Ознайомтесь із повним обговоренням тут .
