Znate vježbu: koristite dugu i raznoliku lozinku, nemojte upotrebljavati istu lozinku dva puta, upotrijebite drugu lozinku za svaku web-lokaciju. Koristi li kratku zaporku stvarno opasnu?
Današnja pitanja i odgovori nam se javljaju zahvaljujući SuperUseru - podjele Stack Exchange-a, zajednice-driven grupiranja Q & A web stranica.
SuperUser čitač user31073 je znatiželjan hoće li stvarno paziti na ta kratka upozorenja:
Koristeći sustave kao što su TrueCrypt, kada moram definirati novu lozinku, često me obavještavamo da je korištenje kratke lozinke nesigurno i "vrlo lako" da prekršim silom.
Uvijek koristim zaporke od 8 znakova, koje se ne temelje na rječničkim riječima, a sastoje se od znakova iz skupa A-Z, a-z, 0-9
Tj Koristim zaporku poput sDvE98f1
Koliko je lako probiti takvu lozinku silom? Tj koliko brzo.
Znam da jako ovisi o hardveru, ali možda bi netko mogao dati procjenu koliko će trebati da to učini na dvojnoj jezgri s 2GHZ ili što god da ima referentni okvir za hardver.
Za napad na silu, takva lozinka ne treba samo kružiti kroz sve kombinacije, već i pokušati dekriptirati svaku nagađenu lozinku koja također treba neko vrijeme.
Također, postoji li neki softver za brutalnu silu TrueCrypt jer želim pokušati brute-force crack moje lozinke kako bi vidjeli koliko je potrebno ako je to stvarno da je "vrlo lako".
Jesu li kratke zaporke slučajnih znakova doista u opasnosti?
SuperUser suradnik Josh K. naglašava što napadač treba:
Ako napadač može pristupiti lozinku hash često je vrlo lako brutalna sila jer jednostavno podrazumijeva hashing lozinke dok se hashes ne podudaraju.
Hrabrost "snage" ovisi o načinu pohrane lozinke. MD5 hash može potrajati manje vremena da bi generirali SHA-512 hash.
Windows koristi (i još uvijek, ne znam) pohranjuju zaporke u formatu LM hash, koji je ugradio lozinku i podijelio je u dva dijela od 7 znakova koji su tada bili raspršeni. Ako ste imali lozinku od 15 znakova, to ne bi bilo važno jer je pohranjuje samo prvih 14 znakova, a bilo je lako podnijeti silu jer niste ničim prisilili lozinku od 14 znakova, bili ste brutalni prisiljavajući dvije lozinke za 7 znakova.
Ako smatrate potrebnim, preuzmite program kao što su John The Ripper ili Cain & Abel (veze zadržane) i testirali ga.
Sjećam se da sam mogao stvoriti 200.000 hashe u sekundi za LM hash. Ovisno o tome kako Truecrypt pohranjuje hash i ako ga može dohvatiti iz zaključane jedinice, to bi moglo potrajati više ili manje vremena.
Brutalni napadi često se koriste kada napadač ima velik broj haseva. Nakon što prolaze kroz zajednički rječnik, često će početi uklanjati lozinke s uobičajenim napadima bratske sile. Brojne lozinke do deset, prošireni alfa i numerički, alfanumerički i zajednički simboli, alfanumerički i prošireni simboli. Ovisno o cilju napada, to može dovesti do različitih stopa uspjeha. Pokušaj kompromitiranja sigurnosti jednog računa posebno često nije cilj.
Još jedan suradnik, Phoshi se proširuje na ideju:
Brute Force nije izvediv napad, prilično mnogo. Ako napadač ne zna ništa o vašoj zaporci, on to ne dobiva na surovoj snazi s ove strane 2020. To se može promijeniti u budućnosti, budući da napredak na hardveru (Na primjer, sada jezgre na i7, masovno ubrzavajući proces (još uvijek govori godina, iako))
Ako želite biti super-sigurni, tamo stavite simbol proširenog ascii (držite alt, upotrijebite numpad da unesete broj veći od 255). Učiniti to prilično puno uvjerava da je obična brutalna sila beskorisna.
Trebali biste biti zabrinuti zbog mogućih nedostataka u algoritmu enkripcije truecrypt-a, što bi lakše olakšalo pronalaženje lozinke, a naravno, najsloženija lozinka na svijetu beskorisna je ako je stroj s kojim ga koristite ugrožen.
Napisali smo Phoshijev odgovor kako bismo čitali: "Brute-force nije izvediv napad, kada koristite sofisticiranu enkripciju trenutne generacije, prilično mnogo".
Kao što smo istaknuli u našem nedavnom članku, Brute-Force Attacks objasnio: Kako je sve šifriranje ugroženo, sheme šifriranja dobi i povećanje snage hardvera tako da je samo pitanje vremena prije nego što je nekada bio težak cilj (kao što je Microsoftov NTLM algoritam šifriranja lozinke) je poraziv u roku od nekoliko sati.
Imate li nešto za objašnjenje? Zvuči u komentarima. Želite li pročitati više odgovora od drugih tehnoloških korisnika Stack Exchangea? Pogledajte ovdje cijelu raspravu.
