Jūs zināt drill: izmantojiet garu un daudzveidīgu paroli, neizmantojiet to pašu paroli divas reizes, izmantojiet citu paroli katrai vietnei. Vai īsā parole tiešām ir tik bīstama?
Šodienas jautājumu un atbilžu sesija mums priecājas par SuperUser - Stack Exchange dalību, kas ir kopienas vadīta Q & A tīmekļa vietņu grupa.
SuperUser lasītājs user31073 ir ziņkārīgs, vai viņam patiešām vajadzētu ņemt vērā šos īsās paroles brīdinājumus:
Izmantojot tādas sistēmas kā TrueCrypt, kad man ir jānorāda jauna parole, man bieži tiek informēts, ka, izmantojot īsu paroli, ir nedrošs un "ļoti viegli", lai izjauktu brutālu spēku.
Es vienmēr lietoju garām 8 rakstzīmju paroles, kas nav balstītas uz vārdnīcas vārdiem, un kas sastāv no rakstzīmēm no komplekta A-Z, a-z, 0-9
I.e. Es izmantoju paroli, piemēram, sDvE98f1
Cik viegli ir tas, ka brusu spēks var ielauzt šādu paroli? I.e. cik ātri.
Es zinu, ka tas lielā mērā ir atkarīgs no aparatūras, bet varbūt kāds varētu man novērtēt, cik ilgi tas būtu jādara, lai to izdarītu par divkodolu ar 2GHZ vai jebko, kam būtu aparatūras atskaites sistēma.
Lai uzbruktu brutālu spēku tādai parolei, ir nepieciešams ne tikai pārbīdīt visas kombinācijas, bet arī mēģināt atšifrēt ar katru nojautajām parolēm, kam nepieciešams arī zināms laiks.
Arī tur ir kāda programmatūra brutālu spēku uzlaušanai TrueCrypt, jo es gribu mēģināt brutālu spēku kreka savu paroli, lai redzētu, cik ilgi tas nepieciešams, ja tas tiešām ir "ļoti viegli".
Vai tiešām ir apdraudētas īsas nejaušas rakstzīmes paroles?
SuperUser autors Josh K. uzsver, ko uzbrucējam vajadzētu:
Ja uzbrucējs var piekļūt paroles maiņai, bieži vien ir ļoti viegli izdarīt brutālu spēku, jo tas vienkārši nozīmē paroli maiņai, līdz maiņas atbilst.
Hašas "spēks" ir atkarīgs no tā, kā tiek saglabāta parole. MD5 hash var aizņemt mazāk laika, lai ģenerētu SHA-512 hash.
Windows, ko izmanto (un vēl joprojām es nezinu), paroles uzglabā LM hash formātā, kas lielāko reizi aizpildīja paroli un sadalīja to divās 7 rakstzīmju rindiņās, kuras pēc tam tika izlaistas. Ja jums būtu 15 rakstzīmju parole, tas nebūtu svarīgi, jo tajā tika saglabātas tikai pirmās 14 rakstzīmes, un to bija viegli izdarīt brutālos spēkos, jo neesat nelietojuši 14 rakstzīmju paroli, un jūs piespiedāt divas 7 rakstzīmju paroles.
Ja jums šķiet, ka ir nepieciešams, lejupielādējiet tādu programmu kā John the Ripper vai Cain & Abel (saites, kas ir noraidītas) un pārbaudiet to.
Es atceros, ka spēj radīt 200,000 hashes sekundē LM hash. Atkarībā no tā, kā Truecrypt saglabā hash, un, ja to var iegūt no bloķēta skaļuma, tas var aizņemt vairāk vai mazāk laika.
Bruņotu spēku uzbrukumi bieži tiek izmantoti, ja uzbrucējam ir liels skaits hashu. Pēc braukšanas ar kopēju vārdnīcu viņi bieži sāks radzēt paroles, izmantojot parastu brutālu spēku uzbrukumus. Numurētas paroles līdz pat desmit, pagarināts alfabēta un ciparu burtu un ciparu simboli, burtciparu un paplašināti simboli. Atkarībā no uzbrukuma mērķa tas var novest pie dažādiem veiksmes rādītājiem. Centieni sagrozīt vienas konta drošību bieži vien nav mērķis.
Vēl viens ieguldītājs, Phoshi paplašina ideju:
Brute-Force nav dzīvotspējīgs uzbrukums, diezgan daudz jebkad. Ja uzbrucējs neko nezina par jūsu paroli, viņš to nesaprot ar šaurāku spēku šajā 2020. gada pusē. Tas var mainīties nākotnē, jo aparatūra attīstās (piemēram, varētu izmantot visu, lai gan daudz-tas-on- tagad serdes par i7, kas ievērojami paātrina procesu (joprojām runā gadiem, lai gan))
Ja jūs vēlaties būt drošākam, pārklājiet paplašinātā ASCII simbolu (turiet alt, izmantojiet ciparu taustiņu, lai ievadītu skaitli, kas lielāks par 255). Tas diezgan lielā mērā nodrošina to, ka vienkāršs brutāls spēks ir bezjēdzīgs.
Jums vajadzētu paust bažas par truecrypt šifrēšanas algoritma iespējamiem trūkumiem, kas varētu atvieglot paroles atrašanu un, protams, vissarežģītākā parole pasaulē ir bezjēdzīga, ja mašīna, kurā to izmantojat, ir apdraudēta.
Mēs varētu komentēt Phoshi atbildi lasīt "Brute force nav dzīvotspējīgs uzbrukums, izmantojot sarežģītu pašreizējās paaudzes šifrēšanu, gandrīz vienmēr".
Kā mēs to uzsvērām mūsu nesenajā rakstā, Brute-Force Attacks paskaidrots: kā visa šifrēšana ir neaizsargāta, šifrēšanas shēmas vecuma un aparatūras jaudas palielināšana, tāpēc jautājums ir tikai par laiku, kas agrāk bija ciets mērķis (piemēram, Microsoft NTLM paroles šifrēšanas algoritms) ir uzvarams dažu stundu laikā.
Vai kaut ko pievienot paskaidrojumam? Skatieties komentāros. Vēlaties lasīt citas atbildes no citiem tehnoloģiju savvy Stack Exchange lietotājiem? Šeit skatiet pilnu diskusiju pavedienu.
