Jesu li kratke lozinke doista tako nesigurne?
Znate vježbu: koristite dugu i raznoliku zaporku, ne koristite istu lozinku dvaput, koristite drugu lozinku za svaku web lokaciju. Je li upotreba kratke lozinke doista tako opasna?
Današnja sesija pitanja i odgovora dolazi nam ljubaznošću SuperUser-a, podjele Stack Exchangea, grupiranja web-lokacija za pitanja i odgovore u zajednici.
Pitanje
Korisnik SuperUser user31073 je znatiželjan da li bi zaista trebao obratiti pozornost na ta upozorenja kratke lozinke:
Koristeći sustave kao što je TrueCrypt, kada moram definirati novu lozinku, često sam obaviješten da je korištenje kratke lozinke nesigurno i "vrlo lako" za prekid brutalne sile.
Uvijek koristim lozinke duljine 8 znakova, koje se ne temelje na riječima riječi koje se sastoje od znakova iz skupa A-Z, a-z, 0-9
Tj Koristim lozinku kao sDvE98f1
Kako je lako ispucati takvu lozinku brutalno? Tj koliko brzo.
Znam da jako ovisi o hardveru, ali možda bi mi netko mogao dati procjenu koliko će to trajati da bi to učinili na dual core s 2GHZ ili bilo što drugo kako bi imali referentni okvir za hardver.
Za napad na takvu lozinku ne morate samo kružiti kroz sve kombinacije, već pokušati dešifrirati svaku pogodovanu lozinku koja također treba neko vrijeme.
Isto tako, postoji li neki softver za brutalno hakiranje TrueCrypta jer želim pokušati isprobati vlastitu lozinku kako bih vidio koliko je vremena potrebno ako je zaista tako "vrlo lako".
Jesu li kratke lozinke slučajnog karaktera doista u opasnosti?
Odgovor
Suradnik SuperUser Josh K. ističe ono što bi napadač trebao:
Ako napadač može pristupiti hashu lozinke, često je vrlo lako brutirati, jer jednostavno uključuje hashing lozinke dok se hashevi ne podudaraju.
Raspon "hash" ovisi o tome kako je lozinka pohranjena. MD5 hash može potrajati manje vremena da generira SHA-512 hash.
Windowsi su (i još uvijek mogu, ne znam) pohraniti lozinke u LM-ovom hash formatu, koji je nadjačao lozinku i podijelio je u dva komada od 7 znakova koji su se zatim raspršili. Ako ste imali zaporku od 15 znakova, to ne bi bilo važno jer je samo pohranilo prvih 14 znakova, a bilo je lako brutirati, jer niste nametali zaporku od 14 znakova..
Ako osjećate potrebu, preuzmite program kao što su John The Ripper ili Cain & Abel (veze zadržane) i testirajte ga.
Sjećam se da sam mogao generirati 200.000 hashesa sekunde za LM hash. Ovisno o tome kako Truecrypt pohranjuje hash i ako se može preuzeti iz zaključanog volumena, može potrajati više ili manje vremena.
Napadi na grubu silu često se koriste kada napadač ima veliki broj hasheva kroz koji prolazi. Nakon što prođete kroz zajednički rječnik, oni će često početi uklanjati lozinke s uobičajenim napadima brutalne sile. Numerirane lozinke do deset, prošireni alfa i numerički, alfanumerički i uobičajeni simboli, alfanumerički i prošireni simboli. Ovisno o cilju napada može voditi s različitim stopama uspješnosti. Pokušaj ugrožavanja sigurnosti jednog računa često nije cilj.
Još jedan suradnik, Phoshi širi ideju:
Brute-Force nije održiv napad, gotovo uvijek. Ako napadač ne zna ništa o vašoj zaporci, on to ne dobiva putem brutalne sile ove strane 2020. To se može promijeniti u budućnosti, budući da hardver napreduje (na primjer, može se upotrijebiti sve-ipak-mnogo-to-ima- sada jezgre na i7, masovno ubrzavanje procesa (Ipak, godinama govorimo)
Ako želite biti super-sigurni, stavite u njega prošireni-ascii simbol (držite alt, pomoću numeričke tipkovnice upišite broj veći od 255). Činiti to prilično uvjeriti da je običan brutalni je beskoristan.
Trebali biste biti zabrinuti zbog mogućih nedostataka u algoritmu enkripcije programa truecrypt, što bi olakšalo pronalaženje lozinke, i naravno, najsloženija lozinka na svijetu je beskorisna ako je uređaj na kojem ga koristite kompromitiran.
Fošijevim odgovorom pročitat ćemo "Brute-force nije izvediv napad, kada se koristi sofisticirana enkripcija trenutne generacije, gotovo nikad".
Kao što smo istaknuli u nedavnom članku, Brute-Force napadi su objasnili: Kako je sve šifriranje ranjivo, sheme šifriranja stare i povećavaju snagu hardvera tako da je samo pitanje vremena kada će ono što je nekada bilo teško ciljati (kao što je Microsoftov algoritam šifriranja NTLM lozinke) je porazan u nekoliko sati.
Imate li što dodati objašnjenju? Zvuk isključen u komentarima. Želite li pročitati više odgovora od drugih tehničkih korisnika Stack Exchangea? Pogledajte cjelokupnu temu za raspravu ovdje.