Наскільки насправді мій короткий пароль?

17

Використовуючи такі системи, як TrueCrypt, коли мені доводиться визначати новий пароль, мене часто інформують, що використання короткого пароля небезпечно і "дуже легко" зламати грубою силою.

Я завжди використовую паролі довжиною 8 символів, які не засновані на словникових словах, що складається з символів із набору AZ, az, 0-9

Тобто я використовую пароль, як sDvE98f1

Наскільки легко зламати такий пароль грубою силою? Тобто як швидко.

Я знаю, що це сильно залежить від обладнання, але, можливо, хтось міг би дати мені оцінку, скільки часу знадобиться зробити це на подвійному ядрі з 2 ГГц або будь-якому іншому, щоб мати орієнтир для обладнання.

Для атаки такого пароля потрібно не лише переглянути всі комбінації, але й спробувати зняти криптовалюту з кожним здогаданим паролем, який також потребує певного часу.

Крім того, є якесь програмне забезпечення для злому злому truecrypt, тому що я хочу спробувати зламати грубу силу, щоб побачити, скільки часу потрібно, якщо це дійсно так "дуже просто".

security  passwords  truecrypt 
user31073
джерело
10
Ну а тепер, коли ви сказали, що у ваших паролях завжди є 8 символів, а не слова словника, ви зробили це набагато простіше ;-)
Джош
Чорт! Я мав би краще взяти слово словника ... :)
user31073
Якщо ви дійсно стурбовані паролями, спробуйте KeePass . Моє управління паролем досягло критичної маси, тоді KeePass змінив моє життя. Тепер мені залишається лише запам'ятати 2 пароля, один для входу на комп'ютер і один для входу в базу даних KeePass. Всі мої паролі (і більшість моїх імен користувачів) тепер унікальні і надзвичайно складні, і використовуючи ім'я користувача / пароль комбо так просто , як CTRL+ ALT+ , Aякщо я увійшов в KeePass.
ubiquibacon

Відповіді:

11

Якщо зловмисник може отримати доступ до хешу паролів, це часто дуже просто примусити, оскільки він просто тягне за собою хешування паролів, поки хеші не збігаються.

"Сила" хеша залежить від того, як зберігається пароль. Хеш MD5 може зайняти менше часу для створення хеша SHA-512.

Windows використовував (і, можливо, досі, я не знаю) зберігає паролі у форматному хеші LM, який вказує на великі регістри пароля і розділяє його на два шматки 7 символів, які потім були хешовані. Якщо у вас був 15-символьний пароль, це не має значення, оскільки він зберігав лише перші 14 символів, і це було легко примусити, тому що ви не були грубими, форсуючи 14-символьний пароль, ви грубо примушували два паролі 7 символів.

Якщо ви відчуваєте потребу, скачайте програму, наприклад, John The Ripper або Cain & Abel (посилання утримано) та протестуйте її.

Я пригадую, що міг генерувати 200 000 хешів секунди для хеша LM. Залежно від того, як Truecrypt зберігає хеш, і якщо його можна отримати із заблокованого об'єму, це може зайняти більше чи менше часу.

Напади грубої сили часто застосовуються, коли нападник має пройти велику кількість хешів. Після запуску через загальний словник, вони часто почнуть видаляти паролі із звичайними атаками грубої сили. Пронумеровані паролі до десяти, розширені альфа-цифрові, буквено-цифрові та загальні символи, буквено-цифрові та розширені символи. Залежно від мети нападу це може призвести з різними показниками успіху. Спроба порушити безпеку одного акаунта, зокрема, часто не є метою.

Джош К
джерело
Дякую за цю відповідь. Я мав би зазначити, що я зазвичай використовую RIPEMD-160 для хеш-функції. Що стосується пароля, з тим, як я його генерую, як описано вище, це 218340105584896 можливий пароль (26 + 26 + 10) ^ 8 (але нападник цього не знає). Тож мені просто цікаво, чи захищені такі паролі від жорстоких атак в межах причини (я не говорю про кейлоггери, кріотрики або криптографії гумового шланга, лише про відгадку пароля від грубої сили). І я здебільшого використовую TrueCrypt.
user31073
Щойно для уточнення, ви відповіли на моє запитання, грунтуючись на 200 000 комбінацій 218340105584896 на 1 вузлі, це займе ~ 36 років, за умови, що зловмисник знає довжину пароля. Це також те, що дає мені онлайн-калькулятор. Спасибі!
user31073
Якщо вони можуть отримати хеш, то так, можна здійснити грубу атаку. Від того, успішні вони чи ні, багато що залежить від того, скільки вони знають про пароль і скільки у них часу. Відповідь оновлено.
Джош К
3
Пам’ятайте, що 36 років стає швидким, якщо попередньо обчислити хеші за допомогою розподіленої мережі. Якщо ви використовуєте 1000 комп’ютерів, це зменшиться до керованого числа.
Багатий Бредшоу
1
Також добре нагадати, що збільшуючи довжину пароля, складність надзвичайно зростає. Якщо 8-разовий пароль займає 36 років, подвоєння довжини до 16 символів час не подвоюється, а натомість підскакує до 7663387620052652 років. :)
Іларі Каясте
4

Brute-Force не є життєздатною атакою , майже ніколи. Якщо зловмисник нічого не знає про ваш пароль, він не отримує його через грубу силу цієї сторони 2020 року. Це може змінитися в майбутньому в міру прогресу обладнання (наприклад, ви можете використовувати все, хоча багато-багато-це-має- тепер сердечники на i7, значно прискорюючи процес (хоча все-таки говорять роки)

Якщо ви хочете бути -захищеними, вставте туди символ із розширеним ascii (Утримуйте клавішу alt, використовуйте цифру для введення числа, що перевищує 255). Це дуже багато запевняє, що звичайна груба сила є марною.

Ви повинні бути стурбовані можливими вадами в алгоритмі шифрування truecrypt, що може значно полегшити пошук пароля, і, звичайно, найскладніший пароль у світі марний, якщо машина, на якій ви його використовуєте, порушена.

Фоши
джерело
Хоча це правда, що жорстокі атаки рідко бувають успішними проти однієї цілі, якби я скидав базу даних користувачів для веб-сайту, який використовує MD5 для хешування паролів, я міг би легко завантажити їх і запустити грубу силу проти цього з обмеженням 6 символів, альфа +, числових та символів. Я не мав би 100% успіху, але мені вдалося б поставити під загрозу пристойну кількість акаунтів.
Джош К
Якщо сіль була статичною, обов'язково. Це не повинно бути. І це насправді не є грубою силою, це просто пошук за попередньо розрахованим веселковим столом. Є причина, що ми солимо хеш;)
Phoshi
Скільки веб-сайтів солять хеши? Чи не райдужний стіл - це просто жорстока атака, стиснута у файл? ;) Моя думка полягає в тому, що якщо у вас 1000 користувачів із паролями, деякі з них обов'язково матимуть такі паролі 12blue.
Джош К
Якщо веб-сайт не солить хеш, вони роблять це неправильно. Весельний стіл - це будь-яка можлива цінність, тому сорти, як попередньо обчислена груба сила, є правдою. | l2blueвсе-таки не повинно бути жорстоким з доброю сіллю, і для цього все одно знадобиться багато часу. (2176782336 можливі комбінації, якщо припустити, що нападник знає, що це a-z0-9)
Phoshi
1
Дуже погано використовувати символи розширеного ascii, якщо ви не впевнені, що це буде прийнято базою даних. Частіше за все я пошкоджував свій пароль, і система не змогла його зіставити з тим, що я вводила для входу, навіть якщо він точно такий самий. Це відбувається тому, що Unicode все ще не є загальним стандартом, а кодування тексту в більшості місць погано обробляється.
Крегокс
2

Ви можете використовувати цей онлайн-інструмент для оцінки http://lastbit.com/pswcalc.asp

Sebtm
джерело
Наскільки точний цей сайт?
Джош
1
@Josh; Схоже, це просто математика, настільки ідеально точна, задана правильний пароль / друге значення.
Фоши
Будь-яка ідея, чому Howsecureismypassword.net каже, що для того, щоб зламати цей пароль, потрібно лише 10 днів?
sgmoore
1

EDIT: Інші дали хороші відповіді на частину вашого питання щодо "Як легко зламати такий пароль грубою силою? Тобто, як швидко"

Щоб вирішити цю частину вашого питання:

Крім того, є якесь програмне забезпечення для злому злому truecrypt, тому що я хочу спробувати зламати грубу силу, щоб побачити, скільки часу потрібно, якщо це дійсно так "дуже просто".

Ось безліч варіантів грубої підтримки Truecrypt

Ось ще один із Принстонського університету.

Джош
джерело
Це не відповідає на його запитання про те, наскільки безпечним є його короткий пароль, і натомість викладає різні інші атаки на платформу Truecrypt.
Джош К
@Josh K: Ні, він відповідає на його запитання: "Також чи є якесь програмне забезпечення для злому злому truecrypt, тому що я хочу спробувати зламати грубу силу, щоб побачити, скільки часу потрібно, якщо це дійсно так" легко "."
Джош
1
@Joshes зараз, не воюйте один з одним! Ви обоє насправді одна і та ж людина, чи не так?
Крегокс
Ні, насправді ми це не так.
Джош К
0

Пароль:

Це простий, але довгий пароль.

є значно більш стійкий до грубої сили, в тому числі на основі словникових атак, ніж:

sDvE98f1

Тож використання короткого, але складного пароля є просто контрпродуктивним. Це складніше запам'ятати і менш захищено.

Використовуйте просту, але довгу фразу.

Томас Боніні
джерело
джерело?
гіперзливання
@hyper: проста середня математика?
Томас Боніні
1
Рендалл має корисну візуалізацію щодо довжини та складності: xkcd.com/936
Чарльз Ліндсей
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.