Pagrindinis » kaip » Ar trumpi slaptažodžiai tikrai yra nesaugūs?

    Ar trumpi slaptažodžiai tikrai yra nesaugūs?


    Jūs žinote sėjamąją: naudokite ilgą ir įvairų slaptažodį, nenaudokite to paties slaptažodžio du kartus, naudokite skirtingą slaptažodį kiekvienai svetainei. Ar tikrai naudojamasi trumpu slaptažodžiu?
    Šiandienos „Klausimų ir atsakymų“ sesija mums suteikiama pagal „SuperUser“ - „Stack Exchange“ padalinį, bendruomenės sukurtą „Q&A“ svetainių grupavimą.

    Klausimas

    „SuperUser“ skaitytuvas user31073 smalsu, ar jis tikrai turėtų atkreipti dėmesį į šiuos trumpojo slaptažodžio įspėjimus:

    Naudojant tokias sistemas kaip „TrueCrypt“, kai turiu apibrėžti naują slaptažodį, dažnai esu informuotas, kad naudojant trumpą slaptažodį yra nesaugus ir „labai lengva“ sulaužyti brutalia jėga.

    Aš visada naudojasi 8 ženklų ilgiais slaptažodžiais, kurie nėra pagrįsti žodyno žodžiais, kurie susideda iš A-Z, a-z, 0-9 rinkinio simbolių

    T.y. Naudoju slaptažodį, pvz., SDvE98f1

    Kaip lengva įveikti tokį slaptažodį pagal brutalią jėgą? T.y. kaip greitai.

    Žinau, kad tai labai priklauso nuo techninės įrangos, tačiau galbūt kas nors galėtų man įvertinti, kiek laiko tai užtruks dviguboje šerdyje su 2GHZ ar bet kokia kita, kad būtų sukurta techninė įranga..

    Norint užkirsti kelią tokiam slaptažodžiui, reikia ne tik pereiti per visus derinius, bet ir pabandyti iššifruoti kiekvieną atspėjamą slaptažodį, kuriam taip pat reikia šiek tiek laiko.

    Be to, ar yra tam tikra programinė įranga, skirta „Brue-force Hack TrueCrypt“, nes noriu pabandyti sugadinti savo slaptažodį, kad pamatytumėte, kiek laiko užtrunka, jei tai tikrai „labai paprasta“.

    Ar trumpas atsitiktinių simbolių slaptažodis yra tikrai pavojingas?

    Atsakymas

    „SuperUser“ autorius Josh K. pabrėžia, ką puolėjas turėtų:

    Jei užpuolikas gali gauti prieigą prie slaptažodžio maišymo, tai dažnai yra labai lengva brutalia jėga, nes ji paprasčiausiai reiškia slaptažodžių maišymą, kol atitiks.

    Maišos „stiprumas“ priklauso nuo slaptažodžio saugojimo. MD5 maišymas gali užtrukti mažiau laiko, kad generuotų SHA-512 maišelį.

    „Windows“ naudojo (ir vis tiek, nežinau) saugoti slaptažodžius LM maišos formatu, kuris viršija slaptažodį ir padalino jį į du 7 simbolių gabalus, kurie buvo paskleisti. Jei turėtumėte 15 simbolių slaptažodį, nesvarbu, nes jis išsaugojo tik pirmuosius 14 simbolių, o tai buvo lengva brutalia jėga, nes jūs nesate verčiamas 14 simbolių slaptažodžio, tu buvo brutali priversti du 7 simbolius slaptažodžius.

    Jei manote, kad reikia, atsisiųskite tokią programą, kaip John The Ripper arba Cain & Abel (nuorodos, kurios buvo uždraustos) ir išbandykite.

    Prisimenu, kad sugebėjimas generuoti 200 000 maišų per sekundę dėl LM maišos. Priklausomai nuo to, kaip „Truecrypt“ saugo maišelį, ir jei jį galima gauti iš užrakinto tūrio, tai gali užtrukti daugiau ar mažiau laiko.

    Brutalinių jėgų atakos dažnai naudojamos tada, kai užpuolikas turi didelį skaičių maišų. Pasibaigus bendram žodynui, jie dažnai pradės piktžolių slaptažodžius, naudodamiesi bendromis brutalinių jėgų atakomis. Numeruoti slaptažodžiai iki dešimties, išplėstiniai alfa ir skaitmeniniai, raidiniai skaitmeniniai ir bendri simboliai, raidiniai skaitmeniniai ir išplėstiniai simboliai. Priklausomai nuo atakos tikslo, tai gali lemti skirtingus sėkmės rodiklius. Bandymas pakenkti vienos sąskaitos saugumui dažnai nėra tikslas.

    Kitas dalyvis, Phoshi, praplečia idėją:

    „Brute-Force“ nėra perspektyvi ataka, gana seniai. Jei užpuolikas nieko nežino apie jūsų slaptažodį, jis negauna šios brutalios jėgos šiai 2020 m. Pusei. Tai gali pasikeisti ateityje, nes techninė pažanga (pvz., Galima naudoti visus, nors ir daug-tai-turi) dabar yra „i7“ branduolys, labai spartinantis procesą (vis dar kalbame apie metus)

    Jei norite būti saugus, laikykitės išplėstinio ascii simbolio (laikykite alt, naudokite skaičių klaviatūrą, kad įvestumėte skaičių, didesnį nei 255). Darydami tai gana daug užtikrinama, kad paprastas brutalus jėga yra nenaudinga.

    Turėtumėte būti susirūpinęs dėl galimų truecrypt šifravimo algoritmo trūkumų, dėl kurių būtų galima lengviau rasti slaptažodį, ir, žinoma, sudėtingiausias slaptažodis pasaulyje yra nenaudingas, jei mašina, kurią naudojate, yra pažeista.

    Norėtume komentuoti Phoshi atsakymą: „Brute-force nėra gyvybingas išpuolis, kai naudojate sudėtingą dabartinės kartos šifravimą, gana seniai“.

    Kaip pabrėžėme naujausiame straipsnyje, „Brute-Force Attack Explained“: kaip visi šifravimo būdai yra pažeidžiami, šifravimo schemų amžius ir aparatūros galia didėja, todėl tai tik laiko klausimas, prieš tai, kas anksčiau buvo sunkus tikslas (pvz., „Microsoft“ NTLM slaptažodžio šifravimo algoritmas) per kelias valandas yra įveikiamas.

    Ar ką nors papildyti paaiškinimu? Garsas išjungtas komentaruose. Norite perskaityti daugiau atsakymų iš kitų „tech-savvy Stack Exchange“ vartotojų? Čia rasite visą diskusijų temą.

    Ar yra kokių nors privalumų, prijungus pelę į USB 3.0 prievadą?
    Ar yra kokių nors pavojų naudojant „Y“ kabelius su USB periferiniais įrenginiais?
    Ar „Razer“ zSilver žaidimų apdovanojimai yra verta?
    Kitas straipsnis
    Ar saugūs „Smart Locks“?
    Ankstesnis straipsnis
    Ar paruoštos svetainės sukelia Web dizainą?