Hjemmeside » hvordan » Er korte passord virkelig så usikre?

    Er korte passord virkelig så usikre?


    Du kjenner boret: bruk et langt og variert passord, ikke bruk det samme passordet to ganger, bruk et annet passord for hvert nettsted. Bruker et kort passord virkelig så farlig?
    Dagens Spørsmål & Svar-sesjon kommer til oss med høflighet av SuperUser-en underavdeling av Stack Exchange, en fellesskapsdrevet gruppering av Q & A-nettsteder.

    Spørsmålet

    SuperUser-leser user31073 er ​​nysgjerrig på om han virkelig bør følge disse advarslene om kort passord:

    Ved å bruke systemer som TrueCrypt, når jeg må definere et nytt passord, blir jeg ofte informert om at bruk av et kort passord er usikkert og "veldig enkelt" å bryte med brute-force.

    Jeg bruker alltid passord med 8 tegn i lengden, som ikke er basert på ordlisteord, som består av tegn fra settet A-Z, a-z, 0-9

    Dvs. Jeg bruker passord som sDvE98f1

    Hvor lett er det å knekke et slikt passord med brute-force? Dvs. hvor fort.

    Jeg vet at det er tungt avhengig av maskinvaren, men kanskje noen kunne gi meg et estimat hvor lenge det ville ta å gjøre dette på en dobbel kjerne med 2GHz eller hva som helst for å ha en referanseramme for maskinvaren.

    For å brute-force angripe et slikt passord, trenger man ikke bare å sykle gjennom alle kombinasjoner, men også prøve å dekryptere med hvert gjettet passord som også trenger litt tid.

    Også er det noen programvare for å brute-force hack TrueCrypt fordi jeg vil prøve å brute-force sprekk mitt eget passord for å se hvor lang tid det tar hvis det egentlig er så "veldig enkelt".

    Er korte tilfeldige tegn passord virkelig i fare?

    Svaret

    SuperUser-bidragsyter Josh K. fremhever hva angriperen vil trenge:

    Hvis angriperen kan få tilgang til passord hash er det ofte veldig lett å brute force siden det bare innebærer hashing passord til hashene samsvarer.

    Hash "styrke" er avhengig av hvordan passordet er lagret. En MD5-hash kan ta mindre tid å generere enn en SHA-512 hash.

    Windows pleide å (og kan likevel ikke, jeg vet ikke) lagre passord i et LM hash-format, som opplyste passordet og splitt det i to 7 tegnbit som senere ble kuttet. Hvis du hadde et 15 tegn passord, ville det ikke være noe som skyldes at det bare lagret de første 14 tegnene, og det var lett å brute force fordi du ikke var brute tvinge et 14 tegn passord, du var brutt tvunget to 7 tegn passord.

    Hvis du føler behov, last ned et program som John The Ripper eller Cain & Abel (koblinger holdt tilbake) og test det.

    Jeg husker å kunne generere 200.000 hashene en sekund for en LM hash. Avhengig av hvordan Truecrypt lagrer hash, og hvis det kan hentes fra et låst volum, kan det ta mer eller mindre tid.

    Brute Force Attacks brukes ofte når angriperen har et stort antall hashes å gå gjennom. Etter å ha kjørt gjennom en felles ordbok, begynner de ofte å luke passord ut med vanlige brute force angrep. Nummererte passord opptil ti, utvidede alfa og numeriske, alfanumeriske og vanlige symboler, alfanumeriske og utvidede symboler. Avhengig av målet for angrepet kan det føre til varierende suksessrate. Forsøk på å kompromittere sikkerheten til en konto spesielt er ofte ikke målet.

    En annen bidragsyter, Phoshi utvider seg på ideen:

    Brute-Force er ikke et levedyktig angrep, ganske mye noensinne. Hvis angriperen ikke vet noe om passordet ditt, får han det ikke gjennom brute-force denne siden av 2020. Dette kan endres i fremtiden, ettersom maskinvareforskuddene (for eksempel kan man bruke alle men-mange-det-har- nå kjerner på en i7, massivt påskynde prosessen (fortsatt snakker år, skjønt))

    Hvis du vil være sikker, hold et utvidet ascii-symbol der inne (Hold alt, bruk talltastene til å skrive inn et tall større enn 255). Å gjøre det ganske mye sikrer at en vanlig brute-kraft er ubrukelig.

    Du bør være bekymret for potensielle feil i truecrypts krypteringsalgoritme, noe som kan gjøre det enklere å finne et passord, og selvfølgelig er det mest komplekse passordet i verden ubrukelig dersom maskinen du bruker den på, er kompromittert.

    Vi vil annotere Phoshi svar for å lese "Brute-force er ikke et levedyktig angrep, når du bruker sofistikert nåværende generasjon kryptering, ganske mye noensinne".

    Som vi fremhevet i vår siste artikkel, forklares Brute-Force Attacks: Hvordan all kryptering er utsatt, krypteringssystemer alder og maskinvare kraft øker, så det er bare et spørsmål om tid før det pleide å være et hardt mål (som Microsoft's NTLM passord krypteringsalgoritme) er nedslått i løpet av noen timer.

    Har du noe å legge til forklaringen? Lyde av i kommentarene. Vil du lese flere svar fra andre tech-savvy Stack Exchange-brukere? Sjekk ut hele diskusjonstråden her.

    Er det noen fordeler ved å koble musen til en USB 3.0-port?
    Er det noen risiko for å bruke Y-kabler med USB-enheter?
    Er Razers zSilver Gaming Belønninger verdt det?
    Neste artikkel
    Er Smart Locks Secure?
    Forrige artikkel
    Er klare websider drept webdesign?