Да ли су кратке лозинке заиста тако несигурне?
Знате вежбу: користите дугу и разноврсну лозинку, не користите исту лозинку два пута, користите другу лозинку за сваки сајт. Да ли је употреба кратке лозинке толико опасна?
Данашња сесија питања и одговора долази нам захваљујући СуперУсер-у - подјела Стацк Екцханге-а, груписане од стране заједнице веб-локација за питања и одговоре.
Питање
СуперУсер читач усер31073 је знатижељан да ли би заиста требао обратити пажњу на та упозорења са кратком лозинком:
Користећи системе као што је ТруеЦрипт, када морам да дефинишем нову лозинку, често сам обавештен да је коришћење кратке лозинке несигурно и „веома лако“ да се прекине брутално.
Увек користим лозинке од 8 знакова дужине, које се не базирају на речницима речника, које се састоје од знакова из скупа А-З, а-з, 0-9
Дакле. Користим лозинку као сДвЕ98ф1
Колико је лако испуцати такву лозинку брутално? Дакле. колико брзо.
Знам да јако овиси о хардверу, али можда би ми нетко могао дати процјену колико ће то трајати да би то учинили на дуал цоре с 2ГХЗ или било што друго да имају референтни оквир за хардвер.
За напад на грубу силу таквом лозинком треба не само да прелиставате све комбинације, већ и да покушате да дешифрујете сваку погодну лозинку која такође захтева неко време.
Такође, да ли постоји неки софтвер за брутално хаковање ТруеЦрипт-а зато што желим да покушам да пробијем своју лозинку да видим колико је времена потребно ако је заиста тако "врло лако".
Да ли су шифре за случајни карактер заиста под ризиком?
Одговор
Доприносник СуперУсер-а Јосх К. истиче оно што би нападач требао:
Ако нападач може да приступи хасху лозинке, често је врло лако брутално, јер једноставно подразумева хеширање лозинки док се хешови не поклапају..
Хасх “снага” зависи од тога како је лозинка похрањена. МД5 хасх може потрајати мање времена да генерише СХА-512 хасх.
Виндовси су (и још увек могу, не знам) чувати лозинке у ЛМ хасх формату, који је уносио лозинку и делио је на два комада од 7 карактера који су се затим распршили. Ако сте имали шифру од 15 знакова, то не би било важно јер је само сачувало првих 14 знакова, и било је лако брутирати, јер нисте били брутални, присиљавајући лозинку од 14 знакова, били сте брутално сабирање две лозинке од 7 знакова.
Ако осећате потребу, преузмите програм као што су Јохн Тхе Риппер или Цаин & Абел (линкови задржани) и тестирајте га.
Сећам се да сам у стању да генеришем 200.000 хешова секунде за ЛМ хасх. У зависности од тога како Труецрипт складишти хеш, и ако се може преузети из закључаног волумена, може проћи више или мање времена.
Напади на грубу силу се често користе када нападач има велики број хеш-ова за пролазак. Након што прођете кроз заједнички речник, они ће често почети да уклањају лозинке са уобичајеним нападима грубом силом. Нумериране лозинке до десет, проширени алфа и нумерички, алфанумерички и заједнички симболи, алфанумерички и проширени симболи. У зависности од циља напада може водити са различитим стопама успјеха. Покушај угрожавања сигурности једног рачуна често није циљ.
Још један сарадник, Пхосхи шири идеју:
Бруте-Форце није одржив напад, скоро увек. Ако нападач не зна ништа о вашој лозинки, он то не добија путем бруталне силе ове стране 2020. То се може промијенити у будућности, јер напредује хардвер (на примјер, може се користити свеједно-много-то-има- сада је језгро на и7, масовно убрзава процес (Ипак, годинама говоримо)
Ако желите да будете супер-сигурни, ставите у њега проширени асции симбол (држите алт, користите нумеричку тастатуру за унос броја већег од 255). Учинити то прилично увјерава да је обична груба сила бескорисна.
Требали бисте бити забринути због могућих недостатака у алгоритму енкрипције програма труецрипт, који би могао олакшати проналажење лозинке, и наравно, најсложенија лозинка на свијету је бескорисна ако је машина коју користите на компромису.
Фошијевим одговором ћемо прочитати "Бруте-форце није одржив напад, када користимо софистицирану енкрипцију тренутне генерације, скоро никад".
Као што смо истакли у недавном чланку, Бруте-Форце напади су објаснили: Како је све енкрипција рањива, шеме шифровања и повећање снаге хардвера тако да је само питање времена када ће оно што је некада било тешко циљати (као што је Мицрософтов алгоритам шифровања НТЛМ лозинке) је поражавајућа за неколико сати.
Имате ли нешто да додате објашњењу? Звучи у коментарима. Желите ли прочитати више одговора од других технолошки паметних Стацк Екцханге корисника? Погледајте цео дискусију овде.