Laman » bagaimana untuk » Adakah Kata Singkat Kata Really That Unecure?

    Adakah Kata Singkat Kata Really That Unecure?


    Anda tahu gerudi: menggunakan kata laluan yang panjang dan pelbagai, jangan gunakan kata laluan yang sama dua kali, gunakan kata laluan yang berbeza untuk setiap laman web. Menggunakan kata laluan pendek benar-benar berbahaya?
    Sesi Soalan & Jawapan hari ini datang kepada kami dengan ihsan SuperUser-bahagian pembahagian Stack Exchange, kumpulan yang diketuai oleh komuniti laman web Q & A.

    Soalan

    Pembaca SuperUser user31073 ingin tahu sama ada dia harus benar-benar memperhatikan amaran kata laluan pendek:

    Menggunakan sistem seperti TrueCrypt, apabila saya perlu menentukan kata laluan baru saya sering dimaklumkan bahawa menggunakan kata laluan pendek adalah tidak selamat dan "sangat mudah" untuk dipecahkan oleh kuasa brute.

    Saya selalu menggunakan kata laluan 8 aksara panjang, yang tidak berdasarkan perkataan kamus, yang terdiri daripada aksara dari set A-Z, a-z, 0-9

    I.e. Saya menggunakan kata laluan seperti sDvE98f1

    Betapa mudahnya untuk memecahkan kata laluan sedemikian dengan kekerasan? I.e. berapa cepatnya.

    Saya tahu ia sangat bergantung pada perkakasan tetapi mungkin seseorang boleh memberi saya anggaran berapa lama masa yang diperlukan untuk melakukan ini pada teras teras dengan 2GHZ atau apa sahaja yang mempunyai kerangka rujukan untuk perkakasan.

    Untuk menyerang kekerasan seperti kata laluan, seseorang itu tidak hanya memerlukan kitaran melalui semua kombinasi tetapi juga cuba untuk mendekripsi dengan kata laluan yang ditebak yang juga memerlukan beberapa waktu.

    Juga, ada beberapa perisian untuk hack Brute-force TrueCrypt kerana saya mahu cuba untuk memaksa kekacauan memaksa kata laluan saya sendiri untuk melihat berapa lama ia diperlukan jika ia benar-benar "sangat mudah".

    Adakah kata laluan aksara rawak pendek benar-benar berisiko?

    Jawapan

    Penyumbang SuperUser Josh K. menyoroti apa yang diperlukan oleh penyerang:

    Sekiranya penyerang boleh mendapatkan akses kepada hash kata laluan, ia sering kali mudah untuk memaksa kerana ia hanya melibatkan kata laluan hashing sehingga perlawanan yang mencukupi.

    "Hash" hash bergantung kepada cara kata laluan disimpan. Hash MD5 mungkin mengambil sedikit masa untuk menjana hash SHA-512.

    Windows digunakan untuk (dan masih boleh, saya tidak tahu) menyimpan kata laluan dalam format hash LM, yang kata laluan atas kata laluan dan berpecahnya menjadi dua ketulan tujuh watak yang kemudiannya telah hilang. Sekiranya anda mempunyai kata laluan aksara 15, ia tidak akan menjadi masalah kerana ia hanya menyimpan 14 aksara yang pertama, dan ia adalah mudah untuk memaksakan kekerasan kerana anda tidak kasar memaksa kata laluan 14 aksara, anda adalah kasar memaksa dua 7 kata laluan kata laluan.

    Sekiranya anda merasakan keperluan, muat turun program seperti John The Ripper atau Cain & Abel (pautan yang ditahan) dan uji itu.

    Saya masih ingat mampu menghasilkan 200,000 hash yang kedua untuk hash LM. Bergantung kepada bagaimana Truecrypt menyimpan hash, dan jika ia boleh diambil dari isipadu terkunci, ia boleh mengambil lebih banyak masa.

    Serangan pasukan brute sering digunakan ketika penyerang memiliki sejumlah besar hash untuk dilalui. Setelah berjalan melalui kamus biasa mereka akan sering mula menyamar kata laluan dengan serangan kekerasan biasa. Kata laluan bernombor hingga sepuluh, simbol alpha lanjutan dan numerik, alfanumerik dan umum, simbol alfanumerik dan lanjutan. Bergantung kepada matlamat serangan itu, ia boleh membawa kepada pelbagai kadar kejayaan. Percubaan untuk mengkompromikan keselamatan satu akaun khususnya sering bukan matlamat.

    Satu lagi penyumbang, Phoshi memperluaskan idea itu:

    Pasukan Brute-Force bukan serangan yang baik, cukup banyak. Sekiranya penyerang tidak mengetahui apa-apa mengenai kata laluan anda, ia tidak mendapatnya melalui kuasa kasar pada sebelah 2020. Ini mungkin berubah pada masa depan, sebagai kemajuan perkakasan (Sebagai contoh, seseorang boleh menggunakan semua namun banyak- sekarang teras pada i7, secara besar-besaran mempercepatkan proses (Masih bercakap tahun, walaupun))

    Sekiranya anda mahu menjadi lebih baik, tekan simbol ascii yang dilanjutkan di sana (Tekan alt, gunakan numpad untuk menaip nombor yang lebih besar daripada 255). Melakukan itu cukup menjamin bahawa kuasa kasar kasar tidak berguna.

    Anda harus prihatin tentang potensi kecacatan dalam algoritma penyulitan truecrypt, yang dapat membuat pencarian kata laluan lebih mudah, dan tentu saja, kata laluan yang paling kompleks di dunia tidak berguna jika mesin yang anda gunakan di atas dikompromi.

    Kami akan mencatat jawapan Phoshi untuk membaca "Kekuatan brute bukan serangan yang berdaya maju, apabila menggunakan enkripsi generasi semasa yang canggih, cukup banyak".

    Seperti yang kita ketengahkan dalam artikel baru-baru ini, Serangan Brute-Force Dijelaskan: Bagaimana Semua Penyulitan adalah Rentan, skema enkripsi umur dan peningkatan perkakasan jadi hanya masalah masa sebelum apa yang dulu menjadi sasaran keras (seperti algoritma penyulitan kata laluan NTLM Microsoft) boleh dikalahkan dalam masa beberapa jam.

    Mempunyai sesuatu untuk menambah penjelasannya? Bunyi dalam komen. Ingin membaca lebih banyak jawapan dari pengguna Stack Exchange yang berteknologi tinggi? Lihat thread perbincangan penuh di sini.

    Adakah Terdapat Manfaat daripada Memasang Tetikus Anda ke Port USB 3.0?
    Adakah Terdapat Risiko Menggunakan Y-Kabel dengan Peranti USB?
    Adakah Ganjaran ZSilver Gaming Razer bernilai?
    Artikel seterusnya
    Adakah kunci pintar selamat?
    Artikel sebelumnya
    Adakah Laman Web Siap Membunuh Reka Bentuk Web?