Знаете тренировката: използвайте дълга и разнообразна парола, не използвайте същата парола два пъти, използвайте различна парола за всеки сайт. Използва ли кратка парола наистина опасно?
Днешната сесия за въпроси и отговори ни идва с любезното съдействие на SuperUser - подразделение на Stack Exchange - обединяване на уеб сайтове с въпроси и отговори.
Суперузерът reader user31073 е любопитен дали трябва наистина да се вслуша в тези предупреждения с кратка парола:
Използвайки системи като TrueCrypt, когато трябва да задам нова парола, често съм информирана, че използването на кратка парола е несигурно и "много лесно" да се счупи чрез груба сила.
Винаги използвам пароли с дължина 8 знака, които не се основават на речни думи, които се състоят от символи от серията A-Z, a-z, 0-9
Т.е. Използвам парола като sDvE98f1
Колко лесно е да се справи такава парола с груба сила? Т.е. колко бързо.
Знам, че зависи до голяма степен от хардуера, но може би някой може да ми даде оценка колко време ще отнеме да се направи това на двуядрени с 2GHZ или каквото и да има рамка за справка за хардуера.
За да нанесете такава парола на брутална сила, трябва не само да преминете през всички комбинации, но и да декриптирате с всяка предполагаема парола, която също се нуждае от известно време.
Също така, има ли някакъв софтуер за груба сила на хакване TrueCrypt, защото искам да се опитам да груби сили да се справим със собствената си парола, за да видя колко време отнема, ако наистина е "много лесно".
Има ли в опасност кратки пароли с случайни знаци?
Contributor на SuperUser Джош К. подчертава какво ще се нуждае от нападателя:
Ако нападателят може да получи достъп до хеш паролата, често е много лесно да се нанася груба сила, тъй като тя просто включва пароли за хеширане, докато хеш пасът съвпадне.
Силата "хеш" на хеш зависи от това как се съхранява паролата. Разписката на MD5 може да отнеме по-малко време, за да генерира хаус SHA-512.
Използваните Windows (и все пак може да не знам) запазват пароли в LM хеш формат, който надхвърля паролата и я разделя на два 7-ти букви, които след това са били хеширани. Ако сте имали парола с 15 знака, нямаше да има значение, защото съхранява само първите 14 символа и е било лесно да нанесете груба сила, защото не сте били груби, като сте наложили 14-знакова парола, но сте били груби, като сте наложили две пароли с 7 символа.
Ако почувствате нуждата, изтеглете програма като John The Ripper или Cain & Abel (връзки, задържани) и го тествайте.
Спомням си, че мога да генерира 200 000 хешове за секунда за LM хеш. В зависимост от това как Truecrypt съхранява хеш и дали може да бъде извлечен от заключен обем, това може да отнеме повече или по-малко време.
Атаките на груби сили често се използват, когато нападателят има голям брой хешове, за да мине през него. След като преминат през общ речник, те често започват да избиват пароли с обикновени атаки на груба сила. Номерирани пароли до десет, разширени алфа и цифрови, буквено-цифрови и общи символи, буквено-цифрови и разширени символи. В зависимост от целта на атаката тя може да доведе с различни процент на успех. Опитът да се компрометира сигурността на една сметка по-специално често не е целта.
Друг сътрудник, Phoshi разширява идеята:
Brute-Force не е жизнеспособна атака, почти досега. Ако атакуващият не знае нищо за паролата ви, той не може да се справи с тази страна на 2020 година. Това може да се промени в бъдеще, тъй като хардуерът се развива (Например, може да се използва всичко - много - сега ядра на i7, мащабно ускоряване на процеса (все още говори години, все пак))
Ако искате да сте сигурни, залепете там разширен символ на Ascii (Задръжте alt, използвайте числата, за да въведете число по-голямо от 255). Правейки това доста сигурно, че обикновената груба сила е безполезна.
Трябва да сте загрижени за потенциални недостатъци в алгоритъма за криптиране на Truecrypt, който може да направи много по-лесно намирането на парола и, разбира се, най-сложната парола в света е безполезна, ако машината, която използвате, е компрометирана.
Ще отбележим отговора на Phoshi, за да прочетем, че "Brute-force не е жизнеспособна атака, когато използва сложно текущо криптиране на поколение, почти досега".
Както се подчертава в нашата скорошна статия, Brute-Force Attacks обяснено: как всички криптиране е уязвима, криптирането схеми възраст и хардуер увеличаване на мощност, така че е само въпрос на време преди това, което е било трудно цел (като Microsoft NTLM парола криптиране алгоритъм) е победен за няколко часа.
Имате ли нещо, което да добавите към обяснението? Звучи в коментарите. Искате ли да прочетете повече отговори от други потребители на Stack Exchange? Вижте цялата тема на дискусията тук.
