کیا مختصر پاس ورڈ واقعی یہ غیر محفوظ ہیں؟

غیر منقولہ مواد

آپ ڈرل جانتے ہیں: لمبا اور متنوع پاس ورڈ استعمال کریں ، ایک ہی پاس ورڈ کو دو بار استعمال نہ کریں ، ہر سائٹ کے لئے مختلف پاس ورڈ استعمال کریں۔ کیا مختصر پاس ورڈ کا استعمال واقعی اتنا خطرناک ہے؟
آج کا سوال وجواب کا سیشن ہمارے پاس سوپر یوزر کے بشکریہ ہے St اسٹیک ایکسچینج کی ایک ذیلی تقسیم ، سوال و جواب کی ویب سائٹوں کی کمیونٹی سے چلنے والی گروپ بندی۔

سوال

سپر صارف ریڈر صارف 101073 جانتا ہے کہ آیا اس کو مختصر پاس ورڈ کی وارننگوں پر واقعی توجہ دینی چاہئے:

ٹرو کریپٹ جیسے سسٹم کا استعمال کرتے وقت ، جب مجھے نیا پاس ورڈ متعین کرنا پڑتا ہے تو مجھے اکثر مطلع کیا جاتا ہے کہ مختصر پاس ورڈ کا استعمال غیر محفوظ ہے اور اس کی طاقت کے ذریعہ توڑنا "بہت آسان" ہے۔

میں ہمیشہ 8 حروف کے لمبائی کے پاس ورڈ استعمال کرتا ہوں ، جو لغت الفاظ پر مبنی نہیں ہوتے ہیں ، جو سیٹ A-Z ، a-z ، 0-9 کے حروف پر مشتمل ہوتا ہے

یعنی میں sDvE98f1 جیسے پاس ورڈ کا استعمال کرتا ہوں

اس طرح کے پاس ورڈ کو بریٹ فورس کے ذریعہ کریک کرنا کتنا آسان ہے؟ یعنی کتنا تیز.

میں جانتا ہوں کہ اس کا زیادہ انحصار ہارڈ ویئر پر ہوتا ہے لیکن ہوسکتا ہے کہ کوئی مجھے اس بات کا اندازہ دے سکے کہ 2GHZ کے ساتھ ڈوئل کور پر یہ کام کرنے میں کتنا وقت لگے گا یا ہارڈ ویئر کے حوالے سے ایک فریم موجود ہے۔

اس طرح کے پاس ورڈ کو بری طرح سے حملہ کرنے کیلئے نہ صرف تمام امتزاجوں کے ذریعے چکر لگانے کی ضرورت ہوتی ہے بلکہ ہر اندازے والے پاس ورڈ کے ساتھ ڈکرپٹ کرنے کی بھی کوشش ہوتی ہے جس میں کچھ وقت کی ضرورت ہوتی ہے۔

نیز ، ٹروکریپٹ کو ہیک کرنے کے لئے کچھ سافٹ ویئر موجود ہے کیوں کہ میں جان بوجھ کر اپنے ہی پاس ورڈ کو کریک کرنے کی کوشش کرنا چاہتا ہوں تاکہ یہ دیکھنے میں کتنا وقت لگتا ہے کہ اگر واقعی یہ "بہت آسان" ہے۔

کیا مختصر بے ترتیب کردار کے پاس ورڈ واقعی خطرے میں ہیں؟

جواب

سوپر یوزر کے معاون جوش کے نے روشنی ڈالی کہ حملہ آور کی کیا ضرورت ہوگی۔

اگر حملہ آور پاس ورڈ ہیش تک رسائی حاصل کرسکتا ہے تو اس کی طاقت کو آسانی سے آسانی سے برداشت کرنا بہت آسان ہوتا ہے کیونکہ جب تک ہیش میچ نہیں ہوتا ہے اس وقت تک اس میں ہیشنگ پاس ورڈز شامل ہوتے ہیں۔

ہیش "طاقت" اس بات پر منحصر ہے کہ پاس ورڈ کو کس طرح محفوظ کیا جاتا ہے۔ MD5 ہیش پیدا کرنے میں کم وقت لگ سکتا ہے اس کے بعد SHA-512 ہیش پیدا ہوتا ہے۔

ونڈوز ایل ایم ہیش فارمیٹ میں پاس ورڈز اسٹور کرتا تھا (اور اب بھی ہوسکتا ہے ، میں نہیں جانتا ہوں) ، جس نے پاس ورڈ کو بڑے پیمانے پر رکھا تھا اور اسے دو 7 کریکٹر حصوں میں تقسیم کردیا تھا جو اس وقت ہیش ہوچکے تھے۔ اگر آپ کے پاس 15 کرداروں کا پاس ورڈ ہوتا تو اس سے کوئی فرق نہیں پڑتا کیونکہ اس نے صرف پہلے 14 حرفوں کو محفوظ کیا ہے ، اور اس کی طاقت کو آسانی سے آسانی سے سمجھنا پڑتا ہے کیونکہ آپ 14 کرداروں کے پاس ورڈ پر مجبور نہیں کرتے تھے ، لہذا آپ دو 7 کردار کے پاس ورڈز کو زبردستی مجبور کر رہے تھے۔

اگر آپ کو ضرورت محسوس ہو تو ، ایک پروگرام ڈاؤن لوڈ کریں جیسے جان دی ریپر یا کین اور ایبل (روابط روکے ہوئے ہیں) اور اس کی جانچ کریں۔

مجھے یاد ہے کہ ایل ایم ہیش کے ل 200 ایک سیکنڈ میں 200،000 ہیش پیدا کرنے میں کامیاب ہے۔ اس بات پر منحصر ہے کہ ٹریوکرپٹ ہیش کو کس طرح ذخیرہ کرتا ہے ، اور اگر اسے مقفل حجم سے بازیافت کیا جاسکتا ہے تو ، اس میں زیادہ سے زیادہ وقت لگ سکتا ہے۔

جب طاقتور حملہ آور ہوتے ہیں تو حملہ آور کے پاس بڑی تعداد میں ہیش ہوتے ہیں۔ ایک عام لغت کو چلانے کے بعد وہ اکثر عام جانوروں کے حملوں کے ساتھ پاس ورڈ کو ختم کرنا شروع کردیں گے۔ دس تک نمبر والے پاس ورڈ ، توسیعی الفا اور عددی ، حرفی نمبر اور عام علامتیں ، حرفی عنصری اور توسیعی علامت۔ حملے کے مقصد پر منحصر ہے یہ کامیابی کی مختلف شرحوں کے ساتھ آگے بڑھ سکتا ہے۔ خاص طور پر ایک اکاؤنٹ کی سیکیورٹی پر سمجھوتہ کرنے کی کوشش اکثر مقصد نہیں ہوتا ہے۔

ایک اور معاون ، فوشی اس خیال پر توسیع کرتا ہے:

بروٹ فورس قابل عمل حملہ نہیں ہے ، بہت زیادہ کبھی. اگر حملہ آور آپ کے پاس ورڈ کے بارے میں کچھ نہیں جانتا ہے تو ، اسے اسے 2020 کی طرف سے طاقت کے ذریعہ حاصل نہیں ہوسکتا ہے۔ ہارڈ ویئر کی پیش قدمی کے طور پر ، مستقبل میں یہ تبدیل ہوسکتا ہے (مثال کے طور پر ، یہ سب کچھ استعمال کرسکتا ہے - اب بڑے پیمانے پر بڑے پیمانے پر اس عمل کو تیز کرتے ہوئے ، ایک i7 پر کام کرتے ہیں (اگرچہ سالوں کی باتیں کررہے ہیں)

اگر آپ سلامتی سے محفوظ بننا چاہتے ہیں تو ، وہاں ایک توسیعی-اشی کی علامت پر قائم رہیں (ایلٹ کو تھامیں ، 255 سے بڑی تعداد میں ٹائپ کرنے کے لئے نم پیڈ کا استعمال کریں)۔ ایسا کرنے سے یہ یقین دہانی کرائی جاتی ہے کہ ایک سادہ جانور طاقت بیکار ہے۔

آپ کو ٹریوکرپٹ کے انکرپشن الگورتھم میں امکانی خامیوں کے بارے میں فکر مند رہنا چاہئے ، جس سے پاس ورڈ تلاش کرنا بہت آسان ہوسکتا ہے ، اور ظاہر ہے ، اگر آپ جس مشین کو استعمال کررہے ہیں اس سے سمجھوتہ کیا جاتا ہے تو ، دنیا کا سب سے پیچیدہ پاس ورڈ بیکار ہے۔

ہم Phoshi کے جوابات کی تشریح کرتے ہیں کہ "بروسٹ فورس ایک قابل عمل حملہ نہیں ہے ، جب موجودہ نسل کی جدید ترین خفیہ کاری کا استعمال کرتے ہوئے ، بہت زیادہ"۔

جیسا کہ ہم نے اپنے حالیہ مضمون میں روشنی ڈالی ، جانوروں سے ہونے والے حملوں کی وضاحت: تمام خفیہ کاری کس طرح قابل برداشت ہے ، انکرپشن سکیموں کی عمر اور ہارڈ ویئر کی طاقت میں اضافہ ہوتا ہے لہذا اس سے پہلے کہ مشکل ٹارگٹ (جیسے مائیکروسافٹ کا NTLM پاس ورڈ خفیہ کاری الگورتھم) ہوتا ہے ، کچھ ہی گھنٹوں میں شکست خوردہ ہوتا ہے۔

---

وضاحت میں شامل کرنے کے لئے کچھ ہے؟ تبصرے میں آواز بند. ٹیک سیکھنے والے اسٹیک ایکسچینج کے دوسرے صارفین سے مزید جوابات پڑھنا چاہتے ہیں؟ یہاں مکمل گفتگو کے دھاگے کو چیک کریں .