Domača » kako » Ali so kratka gesla res tako negotova?

    Ali so kratka gesla res tako negotova?


    Poznaš vajo: uporabljaj dolgo in raznoliko geslo, ne uporabljaj istega gesla dvakrat, uporabi drugačno geslo za vsako spletno mesto. Je res, da je uporaba kratkega gesla tako nevarna?
    Današnja seja vprašanj in odgovorov prihaja z namenom SuperUser-a, ki je del skupine Stack Exchange, ki temelji na skupnostih spletnih mest za vprašanja in odgovore.

    Vprašanje

    Uporabnik brskalnika SuperUser31073 je radoveden, če bi resnično upošteval tista opozorila s kratkim geslom:

    Če uporabljam sisteme, kot je TrueCrypt, ko moram definirati novo geslo, sem pogosto obveščen, da je uporaba kratkega gesla negotova in "zelo enostavna" za prekinitev s surovo silo.

    Vedno uporabljam gesla dolžine 8 znakov, ki ne temeljijo na besedah ​​slovarja, ki jih sestavljajo znaki iz niza A-Z, a-z, 0-9

    Tj. Uporabljam geslo kot sDvE98f1

    Kako preprosto je, da se tako geslo razreši s surovo silo? Tj. kako hitro.

    Vem, da je močno odvisna od strojne opreme, ampak morda bi mi lahko nekdo dal oceno, koliko časa bo trajalo, da bi to naredili na dvojnem jedru z 2GHZ ali karkoli, da bi imeli referenčni okvir za strojno opremo..

    Za brutalno napadanje takšnega gesla je potrebno ne le kolesariti skozi vse kombinacije, ampak tudi poskušati dešifrirati z vsakim ugibanim geslom, ki prav tako potrebuje nekaj časa.

    Prav tako obstaja programska oprema za brutalno silo TrueCrypt, ker želim poskusiti brskati po lastnem geslu, da vidim, koliko časa traja, če je res tako »zelo enostavno«.

    Ali so v nevarnosti kratka gesla naključnih znakov?

    Odgovor

    Prispevek SuperUser Josh K. poudarja, kaj bi napadalec potreboval:

    Če lahko napadalec dobi dostop do razpršenega gesla, je pogosto zelo preprosto brutalno silo, saj preprosto vključuje zgoščevanje gesel, dokler se heš ne ujema..

    Razpršenost »moči« je odvisna od tega, kako je geslo shranjeno. Za ustvarjanje zgoščevalnika SHA-512 bi lahko potrebovali manj časa.

    Windows uporablja za (in še vedno, ne vem) shranjevanje gesel v LM hash formatu, ki je večinoma geslo in ga razdelite na dva 7 znakov koščke, ki so bili nato zgoščeni. Če ste imeli geslo z 15 znaki, to ne bi imelo pomena, ker je shranilo samo prvih 14 znakov in je bilo preprosto brutalno silo, ker niste brutali z geslom z 14 znaki..

    Če čutite potrebo, prenesite program, kot so John The Ripper ali Cain & Abel (povezave zadržane) in ga preizkusite..

    Spomnim se, da sem lahko ustvaril 200.000 hešev za sekundo za LM hash. Odvisno od tega, kako Truecrypt shrani razpršeno vsebino, in če je mogoče pridobiti iz zaklenjenega nosilca, lahko traja več ali manj časa.

    Napadi s surovo silo se pogosto uporabljajo, ko ima napadalec veliko število haše. Potem ko bodo pognali skupni slovar, bodo pogosto začeli odstranjevati gesla s splošnimi napadi brutalne sile. Oštevilčena gesla do deset, razširjeni alfa in številski, alfanumerični in skupni simboli, alfanumerični in razširjeni simboli. Glede na cilj napada lahko vodi z različnimi stopnjami uspešnosti. Poskusi, da bi ogrozili varnost enega računa, pogosto ni cilj.

    Še en sodelavec, Phoshi razširja idejo:

    Brute-Force ni uspešen napad, precej kdaj. Če napadalec ne ve ničesar o vašem geslu, ga ne bo prebral s surovo močjo na tej strani leta 2020. To se lahko v prihodnosti spremeni, ker strojna oprema napreduje (na primer, lahko uporabimo vse-vendar-veliko-to-je- zdaj jedra na i7, kar močno pospešuje proces (še vedno govorimo o letih)

    Če želite biti nad-varni, vtisnite tam podaljšan ascii simbol (držite Alt, uporabite številčnico za vnos številke, ki je večja od 255). To je precej zagotovilo, da je navadna surova sila neuporabna.

    Morali bi biti zaskrbljeni zaradi morebitnih napak v algoritmu šifriranja Truecrypt, ki bi omogočil lažje iskanje gesla in seveda najslabše geslo na svetu, ki je neuporabno, če je naprava, ki jo uporabljate, ogrožena..

    Foshijev odgovor bomo prebrali tako, da bomo prebrali: "Brute-force ni uspešen napad, ko uporabljamo prefinjeno šifriranje trenutne generacije, kar je kdaj koli prej".

    Kot smo poudarili v svojem nedavnem članku, je Brute-Force Attacks razložil: Kako je vse šifriranje ranljivo, sheme šifriranja, starost in moč strojne opreme, se povečata, zato je le vprašanje časa, kdaj je bilo nekoč težko tarča (kot je Microsoftov algoritem za šifriranje gesel NTLM) v nekaj urah.

    Imate kaj dodati pojasnilu? Zvok izključen v komentarjih. Želite prebrati več odgovorov drugih uporabnikov tehnologije Stack Exchange? Oglejte si celotno nit razprave tukaj.

    Ali obstajajo kakršne koli prednosti, ki jih prinaša priklop miške v vrata USB 3.0?
    Ali obstajajo tveganja pri uporabi Y-kablov z napravami USB?
    Ali so Razerjeve igre zSilver Gaming vredne?
    Naslednji članek
    Ali so pametne ključavnice varno?
    Prejšnji članek
    Ali so pripravljene spletne strani Killing Web Design?