Vai īstermiņa paroles patiešām ir nedrošas?

Jūs zināt sējmašīnu: izmantojiet garu un daudzveidīgu paroli, neizmantojiet to pašu paroli divas reizes, izmantojiet citu paroli katrai vietnei. Vai īsta parole ir tik bīstama?
Šodienas jautājumu un atbilžu sesija mums dod pieklājību no SuperUser-Stack Exchange apakšnodaļas, kas ir kopienas orientēta Q & A tīmekļa vietņu grupa.

Jautājums

SuperUser lasītājs user31073 ir ziņkārīgs, vai viņam patiešām būtu jāpievērš uzmanība šiem īso paroļu brīdinājumiem:

Izmantojot tādas sistēmas kā TrueCrypt, kad man ir jādefinē jauna parole, es bieži esmu informēts, ka, izmantojot īsu paroli, ir nedrošs un „ļoti viegli”, lai pārtrauktu brutālu spēku.

Es vienmēr lietoju 8 zīmju garas paroles, kas nav balstītas uz vārdnīcu vārdiem, kas sastāv no A-Z, a-z, 0-9 kopas rakstzīmēm

I.e. Es izmantoju paroli, piemēram, sDvE98f1

Cik viegli ir izlaist šādu paroli ar brutālu spēku? I.e. cik ātri.

Es zinu, ka tas lielā mērā ir atkarīgs no aparatūras, bet varbūt kāds varētu sniegt man aprēķinu, cik ilgi tas būtu nepieciešams, lai to izdarītu ar divkodolu ar 2GHZ vai jebkādu, lai būtu aparatūras rāmis..

Lai uzbruktu šādai parolei, ir nepieciešams ne tikai cikls caur visām kombinācijām, bet arī mēģināt atšifrēt ar katru uzminēto paroli, kurai arī nepieciešams zināms laiks.

Turklāt, vai ir kāda programmatūra brutāla spēka kapāt TrueCrypt, jo es gribu mēģināt brutālu spēku kreka manu paroli, lai redzētu, cik ilgi tas aizņem, ja tas tiešām ir „ļoti vienkārši”.

Vai īstermiņa izlases veida paroles patiešām ir apdraudētas?

Atbilde

SuperUser ieguldītājs Josh K. uzsver, ka uzbrucējam būtu nepieciešams:

Ja uzbrucējs var piekļūt paroles maiņai, bieži vien tas ir ļoti viegli brutālu spēku, jo tas vienkārši nozīmē paroles nomaiņu līdz brīdim, kad hashes atbilst.

Hash “stiprums” ir atkarīgs no tā, kā tiek saglabāta parole. MD5 maiņa var aizņemt mazāk laika, lai ģenerētu SHA-512 hash.

Windows izmantoja (un joprojām nezinu) glabāt paroles LM hash formātā, kas augšupielādēja paroli un sadalīja to divās 7 rakstzīmju daļās, kas pēc tam tika izjauktas. Ja jums būtu 15 rakstzīmju parole, tas nav svarīgi, jo tas saglabāja tikai pirmās 14 rakstzīmes, un tas bija viegli brutāls spēks, jo jūs neesat brutāls, piespiežot 14 rakstzīmju paroli..

Ja jūtat vajadzību, lejupielādējiet programmu, piemēram, John The Ripper vai Cain & Abel (ieturētās saites) un pārbaudiet to.

Es atceros, ka ir spējīgs radīt 200 000 hashes sekundes LM maiņai. Atkarībā no tā, kā Truecrypt saglabā hash, un ja to var iegūt no bloķēta apjoma, tas var aizņemt vairāk vai mazāk laika.

Brutālu spēku uzbrukumi bieži tiek izmantoti, ja uzbrucējam ir liels skaits hasaus, lai izietu. Pēc kopīgas vārdnīcas palaišanas viņi bieži sāks nezāļu paroles ar kopīgiem brutālu spēku uzbrukumiem. Numurētas paroles līdz desmit, paplašinātas alfa un ciparu, burtciparu un kopējie simboli, burtciparu un paplašināti simboli. Atkarībā no uzbrukuma mērķa tas var novest pie dažādiem panākumu rādītājiem. Mēģinājums kompromitēt viena konta drošību bieži vien nav mērķis.

Vēl viens autors, Phoshi, paplašina ideju:

Brute-Force nav dzīvotspējīgs uzbrukums, diezgan daudz jebkad. Ja uzbrucējs neko nezina par jūsu paroli, viņš nesaņem to ar brutālu spēku šajā 2020. gada pusē. Tas nākotnē var mainīties, jo aparatūra attīstās (Piemēram, var izmantot visus, tomēr daudzus-to-ir- tagad ir i7, kas masveidā paātrina procesu (joprojām runā gadiem)

Ja vēlaties būt -drošs, turiet tajā paplašinātu ascii simbolu (turiet alt, izmantojiet numpadu, lai ievadītu skaitli, kas ir lielāks par 255). Darot to diezgan daudz, ir skaidrs, ka vienkāršs brutāls spēks ir bezjēdzīgi.

Jums ir jāuztraucas par iespējamiem truecrypt šifrēšanas algoritma trūkumiem, kas varētu vieglāk atrast paroli un, protams, vissarežģītākā parole pasaulē ir bezjēdzīga, ja mašīna, ko izmantojat, ir apdraudēta.

Mēs komentētu Phoshi atbildi, lai lasītu: „Brutāls spēks nav dzīvotspējīgs uzbrukums, izmantojot daudzpusīgu pašreizējās paaudzes šifrēšanu, diezgan daudz laika”.

Kā mēs uzsvērām mūsu nesenajā rakstā, Brute-Force uzbrukumi paskaidroja: kā viss šifrējums ir neaizsargāts, šifrēšanas shēmas vecums un aparatūras jauda palielinās, tāpēc tas ir tikai laika jautājums, pirms kādreiz bijis grūti mērķis (piemēram, Microsoft NTLM paroles šifrēšanas algoritms) ir pārspējams dažu stundu laikā.

Vai kaut kas jāpievieno paskaidrojumam? Skaņas izslēgšana komentāros. Vai vēlaties lasīt vairāk atbildes no citiem tehnoloģiju gudriem Stack Exchange lietotājiem? Apskatiet pilnu diskusiju pavedienu šeit.