Ovatko lyhyet salasanat todella turvattomia?
Tiedät porauksen: käytä pitkää ja monipuolista salasanaa, älä käytä samaa salasanaa kahdesti, käytä eri salasanaa jokaiselle sivustolle. Käyttääkö lyhyt salasana todella vaarallista?
Nykypäivän Kysymys- ja vastaus -istunto tulee meille suotuisasti SuperUserin - Stack Exchange -alueen, yhteisöpohjaisen Q & A-sivustojen ryhmittymän - kautta..
Kysymys
SuperUser-lukija user31073 on kiinnostunut siitä, pitäisikö hän todella ottaa huomioon nämä lyhyiden salasanojen varoitukset:
TrueCryptin kaltaisten järjestelmien käyttäminen, kun minun on määriteltävä uusi salasana, kerrotaan usein, että lyhyen salasanan käyttäminen on epävarmaa ja "erittäin helppoa" murtaa brute-force.
Käytän aina 8 merkin pituisia salasanoja, jotka eivät perustu sanakirjaan, joka koostuu merkkien joukosta A-Z, a-z, 0-9
Toisin sanoen Käytän salasanaa, kuten sDvE98f1
Kuinka helppoa on murtaa tällainen salasana raakavoimalla? Toisin sanoen kuinka nopeasti.
Tiedän, että se riippuu voimakkaasti laitteistosta, mutta ehkä joku voisi antaa minulle arvion siitä, kuinka kauan kestää tämän kaksoisydin 2GHZ: n tai minkä tahansa kanssa, jotta laitteistolla olisi viitekehys..
Jotta tällainen salasana olisi hyökkäävä hyökkäys, sinun ei tarvitse pelkästään kiertää kaikkia yhdistelmiä, vaan myös yrittää purkaa jokaisella arvailla salasanalla, joka tarvitsee myös jonkin aikaa.
Lisäksi on olemassa joitakin ohjelmia, joilla Brue-Force Hack TrueCrypt, koska haluan yrittää brute-force crack oman salasanani nähdä, kuinka kauan kestää, jos se on todella, että "erittäin helppoa".
Ovatko lyhyet satunnaisluvut todella vaarassa?
Vastaus
SuperUserin avustaja Josh K. korostaa, mitä hyökkääjä tarvitsee:
Jos hyökkääjä voi päästä salasanan hajautukseen, se on usein erittäin helppo brutaalivoimaa, koska se yksinkertaisesti merkitsee salasanojen hajauttamista, kunnes hajautukset vastaavat.
Hajautus ”vahvuus” riippuu salasanan tallennuksesta. MD5-hajautus voi kestää vähemmän aikaa sitten SHA-512-hajautuksen muodostamiseksi.
Windows käytti (ja ei vieläkään tiedä) tallentaa salasanoja LM-hash-muodossa, joka ylitti salasanan ja jakaa sen kahteen 7 merkin palaan, jotka sitten hajautettiin. Jos sinulla olisi 15 merkin salasana, se ei olisi väliä, koska se tallensi vain ensimmäiset 14 merkkiä, ja se oli helppo brutaalivoima, koska et ollut kelvollinen pakottamalla 14 merkkiä sisältävä salasana..
Jos tunnet tarvetta, lataa John The Ripperin tai Cain & Abelin kaltaiset ohjelmat (linkit pidätetty) ja testaa se.
Muistan, että voin tuottaa 200 000 hajaa sekunnissa LM-huudolle. Riippuen siitä, miten Truecrypt tallentaa hajautuksen, ja jos se voidaan hakea lukitusta tilavuudesta, se voi kestää enemmän tai vähemmän aikaa.
Brute force -hyökkäyksiä käytetään usein, kun hyökkääjällä on suuri määrä hajauksia. Kun olet käynyt läpi yhteisen sanakirjan, he alkavat usein itkeä salasanoja tavallisilla hyökkäysvoimilla. Numeroidut salasanat enintään kymmeneen, laajennettu alfa- ja numeeriset, aakkosnumeeriset ja yleiset symbolit, aakkosnumeeriset ja laajennetut symbolit. Hyökkäyksen tavoitteesta riippuen se voi johtaa vaihteleviin menestystasoihin. Tavoitteena ei usein ole yrittää vaarantaa yhden tilin turvallisuutta.
Toinen tekijä, Phoshi laajentaa ajatusta:
Brute-Force ei ole elinkelpoinen hyökkäys, aika paljon. Jos hyökkääjä ei tiedä mitään salasanastasi, hän ei saa sitä tämän vuoden puolivälissä olevalla voimattomalla voimalla. Tämä voi muuttua tulevaisuudessa, kun laitteisto kehittyy (esimerkiksi voisi käyttää kaikkia kuitenkin monia-se-on-on- nyt ydin on i7, joka nopeuttaa prosessia huomattavasti (silti puhuu vuosia)
Jos haluat olla -turvallinen, kiinnitä laajennettu ascii-symboli sinne (Pidä al., Kirjoita numeronäppäimillä numero, joka on suurempi kuin 255). Tämä tekee melkoista varmuutta siitä, että tavallinen brute-voima on hyödytön.
Sinun pitäisi olla huolissaan mahdollisista puutteista salauksen salausalgoritmissa, joka voisi tehdä salasanan löytämisestä paljon helpompaa, ja maailman monimutkaisin salasana on tietysti hyödytön, jos käyttämäsi laite vaarantuu.
Ilmoittaisimme Phoshin vastauksen lukemaan ”Brute-force ei ole elinkelpoinen hyökkäys, kun käytät hienostunutta nykyisen sukupolven salausta, melko koskaan”.
Kuten korostimme äskettäisessä artikkelissamme, Brute-Force-hyökkäykset selittivät: miten kaikki salaus on haavoittuva, salausjärjestelmät iän ja laitteiston teho kasvavat, joten se on vain ajan kysymys ennen kuin se oli aiemmin vaikea tavoite (kuten Microsoftin NTLM-salasanan salausalgoritmi) on voittamaton muutamassa tunnissa.
Onko jotain lisättävää selitykseen? Ääni pois kommenteista. Haluatko lukea lisää vastauksia muilta tech-savvy Stack Exchange -käyttäjiltä? Tutustu koko keskusteluketjuun täällä.