Koduleht » kuidas » Kas lühikesed paroolid on tõesti ebakindlad?

    Kas lühikesed paroolid on tõesti ebakindlad?


    Sa tead harjutust: kasutage pikka ja mitmekesist parooli, ärge kasutage sama parooli kaks korda, kasutage iga saidi jaoks erinevat parooli. Kas lühike parool on tõesti nii ohtlik?
    Tänane küsimuste ja vastuste seanss saabub meiega kohtades, kus on SuperUser-Stack Exchange'i alajaotis, kogukondlikult juhitav Q&A veebisaitide rühmitus.

    Küsimus

    SuperUser-lugeja user31073 on uudishimulik, kas ta peaks tõepoolest tähelepanelikult neid lühikese parooli hoiatusi jälgima:

    Kasutades selliseid süsteeme nagu TrueCrypt, kui ma pean uue parooli määratlema, teavitan ma tihti, et lühikese parooli kasutamine on ebakindel ja "väga lihtne", et murda jõulise jõuga.

    Kasutan alati 8 tähemärki sisaldavaid paroole, mis ei põhine sõnastike sõnadel, mis koosnevad tähemärkidest A-Z, a-z, 0-9

    I.e. Kasutan parooli nagu sDvE98f1

    Kui lihtne on sellise parooli murda jõuvõimuga? I.e. kui kiiresti.

    Ma tean, et see sõltub suuresti riistvarast, kuid võib-olla võiks keegi anda mulle hinnangu, kui kaua see kahekordse tuumaga 2GHZ-ga või mis tahes, et riistvara võrdlusraam oleks..

    Selleks, et sellist parooli rünnata, ei ole vaja mitte ainult läbi kombineerida kõiki kombinatsioone, vaid ka proovida dekrüpteerida iga arvatava parooliga, mis vajab ka aega.

    Samuti on olemas mõni tarkvara brutaaljõuga häkkimiseks TrueCrypt'ile, sest tahan proovida oma parooli murda, et näha, kui kaua kulub, kui see on tõesti „väga lihtne”.

    Kas lühikesed juhuslikud märgid on tõesti ohus?

    Vastus

    SuperUser'i toetaja Josh K. rõhutab, mida ründaja vajab:

    Kui ründaja pääseb paroolihäirele juurde, on see sageli väga kerge jõuga jõuda, kuna see tähendab lihtsalt paroolide segamist, kuni räsi sobib.

    Räsi “tugevus” sõltub parooli salvestamise viisist. MD5-räsi võib võtta SHA-512 räsi tekitamiseks vähem aega.

    Windows kasutas (ja võib-olla siiski ei tea) salvestada paroole LM räsi vormingus, mis ületas parooli ja jagas selle kaheks 7-kohaliseks tükkideks, mis olid seejärel hajautatud. Kui teil oleks 15 tähemärgi parool, ei oleks see oluline, sest see salvestas ainult 14 esimest tähemärki, ja see oli kerge jõuga jõuda, sest sa ei olnud jõuline, kui sundis 14-kohalist parooli..

    Kui tunnete vajadust, laadige alla programm, nagu John The Ripper või Cain & Abel (lingid kinni) ja testige seda.

    Mäletan, et LM-i räsi jaoks on võimalik luua 200 000 räsi sekundis. Sõltuvalt sellest, kuidas Truecrypt salvestab räsi ja kui seda saab lukustatud mahust alla laadida, võib see võtta rohkem või vähem aega.

    Brutaaljõudude rünnakuid kasutatakse sageli siis, kui ründajal on palju läbipääsu. Pärast ühist sõnastikku läbimist hakkavad nad sageli paralleelselt umbrohutõrjevahenditega umbrohutõrjeks. Nummerdatud paroolid kuni kümme, laiendatud alfa- ja numbrilised, tähtnumbrilised ja ühised sümbolid, tähtnumbrilised ja laiendatud sümbolid. Sõltuvalt rünnaku eesmärgist võib see kaasa tuua erineva edu. Ühe konto turvalisuse ohustamine ei ole sageli eesmärk.

    Teine toetaja, Phoshi laiendab ideed:

    Brute-Force ei ole elujõuline rünnak, päris palju kunagi. Kui ründaja ei tea sinu paroolist midagi, ei saa ta seda 2020. aasta seljajooksul. See võib tulevikus muutuda, sest riistvara edusammud (näiteks võiks kasutada kõiki-palju-palju-on-has- nüüd südamikud i7-le, kiirendades protsessi märkimisväärselt (ikka veel räägime aastaid)

    Kui soovid olla üliturvaline, kleepige seal laiendatud assii sümbol (hoidke alt, kasutage numbri sisestamiseks numbrit, mis on suurem kui 255). See teeb päris palju kindlust, et tavaline jõhkerjõud on kasutu.

    Te peaksite muretsema võimalike vigade pärast truecrypt'i krüpteerimisalgoritmis, mis võiks teha parooli leidmise palju lihtsamaks, ja muidugi on maailma kõige keerulisem parool kasutu, kui seda kasutav masin on ohustatud.

    Me annoteerime Phoshi vastuse, et lugeda “Brute-force ei ole elujõuline rünnak, kui kasutate keerulisi praeguse põlvkonna krüpteeringuid, päris palju kunagi varem”.

    Nagu me oma viimases artiklis rõhutasime, selgitasid Brute-Force rünnakud: kuidas kõik krüpteerimised on haavatavad, krüpteerimisskeemid vanuse ja riistvara võimsust suurendavad, nii et see on ainult aja küsimus enne, kui varem oli raske sihtmärk (näiteks Microsofti NTLM-i paroolide krüpteerimisalgoritm) on mõne tunni pärast kaotatav.

    Kas teil on midagi lisada selgitusele? Hääletage kommentaarides. Kas soovite lugeda rohkem vastuseid teistelt tech-savvy Stack Exchange'i kasutajatelt? Vaadake siin täielikku arutelu lõiku.

    Kas on olemas kasu hiire ühendamisest USB 3.0 porti?
    Kas on olemas riske Y-kaablite kasutamisel USB-välisseadmetega?
    Kas Razeri zSilver Gaming Rewards seda väärt?
    Järgmine artikkel
    Kas Smart Locks on turvaline?
    Eelmine artikkel
    Kas valmis veebisaidid tapavad veebidisaini?