האם סיסמאות קצרות באמת לא בטוח?

אתה מכיר את התרגיל: השתמש בסיסמה ארוכה ומגונית, אל תשתמש באותה סיסמה פעמיים, השתמש בסיסמה אחרת עבור כל אתר. האם משתמש בסיסמה קצרה באמת מסוכן?
מפגש השאלות והתשובות של היום מגיע אלינו באדיבות SuperUser - חלוקה מחודשת של Stack Exchange, קיבוץ מונחה על ידי הקהילה של אתרי אינטרנט של Q & A.

השאלה

SuperUser הקורא user31073 הוא סקרן אם הוא באמת צריך לשים לב אלה אזהרות הסיסמה הקצרה:

באמצעות מערכות כמו TrueCrypt, כאשר אני צריך להגדיר סיסמה חדשה אני לעתים קרובות הודיע ​​כי באמצעות סיסמה קצרה היא לא מאובטח ו "קל מאוד" לשבור בכוח הזרוע.

אני תמיד משתמש בסיסמאות של 8 תווים באורך, אשר אינם מבוססים על מילים במילון, אשר מורכב תווים מתוך A-Z, a-z, 0-9

I.e אני משתמש בסיסמה כמו sDvE98f1

כמה קל לפצח סיסמה כזו בכוח הזרוע? I.e כמה מהר.

אני יודע את זה בכבדות תלוי בחומרה אבל אולי מישהו יכול לתת לי הערכה כמה זמן זה ייקח לעשות את זה על ליבה כפולה עם 2GHZ או מה יש מסגרת התייחסות של החומרה.

כדי לתקוף בכוח הזרוע סיסמה כזו צריך לא רק כדי לעבור את כל השילובים, אלא גם לנסות לפענח עם כל סיסמה ניחוש אשר גם צריך קצת זמן.

כמו כן, האם יש כמה תוכנות כדי כוח פראי TrueCrypt גרזן כי אני רוצה לנסות כוח פראי לפצח את הסיסמה שלי כדי לראות כמה זמן זה לוקח אם זה באמת כי "קל מאוד".

האם סיסמאות קצרות אופי אקראי באמת בסיכון?

התשובה

תורם SuperUser ג 'וש ק' מדגיש מה התוקף היה צריך:

אם התוקף יכול לקבל גישה hash הסיסמה היא לעתים קרובות קל מאוד כוח פראי שכן זה פשוט כרוך סיסמאות hashing עד התאמה hashes.

חשיש "כוח" תלוי איך הסיסמה מאוחסנת. חשיש MD5 עלול לקחת פחות זמן כדי ליצור אז חשיש SHA-512.

Windows היה משתמש (ואולי עדיין, אני לא יודע) לאחסן סיסמאות בפורמט LM hash, אשר uppercased את הסיסמה ולפצל אותו לתוך שני גושים 7 תווים שהיו לאחר מכן hashed. אם היה לך סיסמה 15 תווים זה לא היה משנה כי זה רק לאחסן את 14 התווים הראשונים, וזה היה קל כוח הזרוע כי אתה לא היה אכזרי לאלץ סיסמה 14 תווים, היית מכריח לאלץ שתי סיסמאות 7 תווים.

אם אתה מרגיש את הצורך, להוריד תוכנית כגון ג 'ון המרטש או קין & Abel (קישורים withheld) ולבדוק את זה.

אני זוכר להיות מסוגל לייצר 200,000 hashes השני עבור חשיש LM. תלוי איך Truecrypt מאחסן את hash, ואם זה ניתן לאחזר מנעול נעול, זה יכול לקחת פחות או יותר זמן.

התקפות כוח פראי משמשות לעתים קרובות כאשר התוקף יש מספר גדול של hashes לעבור. לאחר ריצה באמצעות מילון משותף הם לעתים קרובות להתחיל לנכש סיסמאות החוצה עם התקפות כוח פראי משותף. סיסמאות ממוספרות עד עשר, אלפא ומספרי מורחב, אלפאנומרי וסמלים נפוצים, סמלים אלפאנומריים ומורחבים. בהתאם למטרה של ההתקפה זה יכול להוביל עם שיעורי הצלחה משתנים. ניסיון לסכן את הביטחון של חשבון מסוים בפרט הוא לעתים קרובות לא המטרה.

תורם נוסף, Phoshi מתרחב על הרעיון:

כוח הזרוע אינו מתקפה בת קיימא, די הרבה אי פעם. אם התוקף לא יודע דבר על הסיסמה שלך, הוא לא מקבל את זה באמצעות כוח פראי זה צד של 2020. זה עשוי להשתנות בעתיד, כמו ההתקדמות חומרה (לדוגמה, אפשר להשתמש בכל זאת עם רבים- it- יש- עכשיו ליבות על i7, מאסיבי להאיץ את התהליך (עדיין מדבר שנים, אם כי))

אם אתה רוצה להיות בטוח-מאובטח, מקל סמל המורחבת ascii שם (החזק Alt, להשתמש numpad להקליד מספר גדול מ 255). עושה את זה די הרבה מבטיח כי כוח הזרוע רגיל הוא חסר תועלת.

אתה צריך להיות מודאג לגבי פגמים פוטנציאליים של אלגוריתם ההצפנה של truecrypt, אשר יכול להפוך את הסיסמה הרבה יותר קל, וכמובן, את הסיסמה המורכבת ביותר בעולם הוא חסר תועלת אם המכשיר אתה משתמש בו הוא בסכנה.

היינו מוסיפים את התשובה של Phoshi לקריאה "כוח הזרוע אינו מתקפה בת קיימא, כאשר משתמשים בהצפנה מתוחכמת של הדור הנוכחי, די הרבה".

כפי שהדגשנו במאמר האחרון שלנו, Brute-Force Attacks המוסבר: כיצד כל ההצפנה פגיע, גיליונות הצפנה הגיל ואת כוח החומרה להגדיל כך שזה רק עניין של זמן לפני מה שהיה בעבר יעד קשה (כמו אלגוריתם ההצפנה של NTLM הסיסמה של מיקרוסופט) הוא להביס בתוך כמה שעות.

יש לך משהו להוסיף להסבר? נשמע את ההערות. רוצה לקרוא תשובות נוספות ממשתמשים אחרים בעלי ידע טכנולוגי מתמצא? בדוק את נושא הדיון המלא כאן.