Domovská » jak » Jsou krátké hesla opravdu špatné?

    Jsou krátké hesla opravdu špatné?


    Znáte cvičení: použijte dlouhé a rozmanité heslo, nepoužívejte stejné heslo dvakrát, použijte pro každé místo jiné heslo. Používá krátké heslo opravdu nebezpečné?
    Dnešní zasedání Otázky a odpovědi nás přichází s laskavým svolením SuperUser - podřízené rozdělení Stack Exchange, které je založeno na komunitě prostřednictvím skupin webových stránek.

    Otázka

    Uživatel čtečky SuperUser user31073 je zvědavý, zda by měl skutečně dbát na varování před krátkým heslem:

    Používáním systémů, jako je TrueCrypt, když musím definovat nové heslo, jsem často informován, že pomocí krátkého hesla je nejisté a "velmi snadné" rozbít hrubou silou.

    Vždy používám hesla o délce 8 znaků, které nejsou založeny na slovnících slov, které se skládají z znaků ze sady A-Z, a-z, 0-9

    Tj. Používám heslo, jako je sDvE98f1

    Jak snadné je to, aby se takové heslo stalo hrubou silou? Tj. jak rychle.

    Vím, že to těžko závisí na hardware, ale možná někdo by mohl dát odhad, jak dlouho to bude trvat, aby to na dvojí jádro s 2GHZ nebo cokoli mít referenční rámec pro hardware.

    K útoku s brutálním útokem je třeba nejen zapínat všechny kombinace, ale i pokusit se dešifrovat s každým hádaným heslem, které také potřebuje nějaký čas.

    Také je tam nějaký software, který by mohl hrubým způsobem přinést hack TrueCrypt, protože bych se chtěl pokoušet hrubou sílu popraskat vlastní heslo, abych zjistil, jak dlouho to trvá, když je to opravdu "velmi snadné".

    Jsou krátká hesla s náhodnými znaky skutečně ohrožena?

    Odpověď

    Contributor SuperUser Josh K. zdůrazňuje, co by útočník potřeboval:

    Pokud útočník může získat přístup k heslovému heslu, je často velmi snadné hrubá síla, neboť to jednoduše znamená hromadné hesla, dokud háčky neodpovídají.

    Hustota "hash" závisí na tom, jak je uloženo heslo. Jednotka hash MD5 může trvat méně času, než generuje hash SHA-512.

    Windows používá (a možná i nevím) ukládá hesla ve formátu LM hash, který upsal heslo a rozdělil jej na dva sedmznakové bloky, které byly poté šachovány. Pokud byste měli 15-ti znakové heslo, nezáleželo by na tom, že by bylo uloženo pouze prvních 14 znaků a bylo snadné, aby jste hrubou sílu, protože jste nebyli hrubou vynucením 14-ti znakových hesel, jste byli brutální vynucení dvou hesel se 7 znaky.

    Pokud máte pocit, že potřebujete, stáhněte program, jako je John The Ripper nebo Cain & Abel.

    Vzpomínám si, že můžu vygenerovat 200 000 hashů za sekundu pro LM hash. V závislosti na tom, jak Truecrypt uchovává hash a zda je lze načíst z uzamčeného svazku, může trvat více či méně času.

    Brutální síly útoky jsou často používány, když útočník má velké množství hadů projít. Po procházení běžným slovníkem často začnou vykračovat hesla s běžnými útoky na hrubou sílu. Číslované hesla až deset, rozšířené alfa a číselné, alfanumerické a běžné symboly, alfanumerické a rozšířené symboly. V závislosti na cíli útoku může vést s různými úspěšnostmi. Pokoušet se ohrozit bezpečnost jednoho účtu zvlášť není často cílem.

    Další přispěvatel Phoshi rozšiřuje myšlenku:

    Brute-Force není životaschopný útok, skoro vůbec. Pokud útočník neví nic o vašem hesle, nedosáhne to touhou stranou do roku 2020. To se může v budoucnu změnit, protože hardware postupuje (Například byste mohli využít všechno - mnoho - to má - nyní jádra na i7, masivně urychlit proces (Přesto mluví roky)

    Chcete-li být -super-zabezpečený, držet rozšířený ascii symbol tam (Hold alt, použijte numerickou klávesnici pro psaní čísla větší než 255). To, že to docela jistě ubezpečí, že obyčejná brutální síla je zbytečná.

    Měli byste být znepokojeni možnými nedostatky v algoritmu šifrování truecrypt, který by mohl usnadnit nalezení hesla a samozřejmě nejsložitější heslo na světě je zbytečné, pokud je stroj, na němž používáte, ohrožen.

    Připomínali bychom Phoshiho odpověď, abychom si přečetli, že "Brute-force není životaschopný útok, když používáme sofistikované šifrování současné generace, skoro vůbec".

    Jak jsme zdůraznili v našem nedávném článku, Brute-Force Attacks vysvětluje: Jak je veškeré šifrování zranitelné, šifrovací schémata věku a hardwarové síly se zvyšují, takže je to jen otázka času, než býval tvrdý terč (jako algoritmus Microsoft NTLM pro šifrování hesel) je schopen porazit za několik hodin.


    Musíte něco přidat k vysvětlení? Vypadněte v komentářích. Chcete se dozvědět více odpovědí od ostatních uživatelů technologie Stack Exchange? Podívejte se na celý diskusní příspěvek zde.