Короткие пароли действительно небезопасны?
Вы знаете задачу: используйте длинный и измененный пароль, не используйте один и тот же пароль дважды, используйте разные пароли для каждого сайта. Использование короткого пароля действительно так опасно?
Сегодняшняя сессия вопросов и ответов пришла к нам благодаря SuperUser - подразделению Stack Exchange, группе веб-сайтов вопросов и ответов, управляемой сообществом..
Вопрос
Читатель SuperUser user31073 интересуется, должен ли он действительно учитывать эти предупреждения о коротком пароле:
При использовании таких систем, как TrueCrypt, когда мне приходится определять новый пароль, мне часто сообщают, что использование короткого пароля небезопасно и «очень легко» взломать методом грубой силы.
Я всегда использую пароли длиной 8 символов, которые не основаны на словарных словах, которые состоят из символов из набора A-Z, a-z, 0-9
То есть Я использую пароль как sDvE98f1
Насколько легко взломать такой пароль грубой силой? То есть как быстро.
Я знаю, что это сильно зависит от аппаратного обеспечения, но, может быть, кто-нибудь подскажет, сколько времени потребуется, чтобы сделать это на двухъядерном процессоре с тактовой частотой 2 ГГц или что-то еще, чтобы иметь ориентир для аппаратного обеспечения.
Для такой атаки методом перебора нужно не только циклически проходить все комбинации, но и пытаться расшифровать каждый угаданный пароль, что также требует некоторого времени..
Кроме того, есть ли какое-нибудь программное обеспечение для взлома TrueCrypt, потому что я хочу попытаться взломать мой собственный пароль, чтобы узнать, сколько времени это займет, если это действительно так «очень просто».
Короткие пароли случайных символов действительно находятся под угрозой?
Ответ
Участник SuperUser Джош К. выделяет, что понадобится атакующему:
Если злоумышленник может получить доступ к хэшу пароля, его очень легко переборить, поскольку он просто влечет за собой хеширование паролей до совпадения хешей..
Надежность хэша зависит от того, как хранится пароль. Для создания хэша MD5 может потребоваться меньше времени, чем для хэша SHA-512.
Windows обычно (и может все еще, я не знаю) хранит пароли в формате хэша LM, который вводит верхний регистр пароля и разделяет его на два 7-символьных блока, которые затем хэшируются. Если у вас был 15-символьный пароль, это не имело бы значения, потому что в нем хранились только первые 14 символов, и было легко перебором, потому что вы не перебирали 14-символьный пароль, вы просто перебирали два 7-символьных пароля..
Если вы чувствуете необходимость, загрузите такую программу, как John The Ripper или Cain & Abel (ссылки удержаны) и протестируйте ее..
Я помню возможность генерировать 200 000 хэшей в секунду для хэша LM. В зависимости от того, как Truecrypt хранит хеш, и если его можно извлечь из заблокированного тома, это может занять больше или меньше времени.
Атаки грубой силой часто используются, когда атакующему нужно пройти через большое количество хэшей. После пробежки по общему словарю они часто начинают отсеивать пароли с помощью обычных атак методом перебора. Пронумерованные пароли до десяти, расширенные буквенно-цифровые, буквенно-цифровые и общие символы, буквенно-цифровые и расширенные символы. В зависимости от цели атаки это может привести к различным показателям успеха. Попытка поставить под угрозу безопасность одной учетной записи, в частности, часто не является целью.
Другой участник, Phoshi, расширяет идею:
Грубая сила не является жизнеспособной атакой, почти всегда Если злоумышленник ничего не знает о вашем пароле, он не получит его путем перебора на этой стороне 2020 года. Это может измениться в будущем, по мере развития оборудования (например, можно использовать все, сколько угодно, сколько у него есть) теперь ядра на i7, что значительно ускоряет процесс (все еще говорят годы)
Если вы хотите быть -super-secure, вставьте туда символ расширенной-ascii (удерживайте alt, используйте цифровую клавиатуру, чтобы ввести число больше 255). Это в значительной степени гарантирует, что простая грубая сила бесполезна.
Вы должны быть обеспокоены потенциальными недостатками алгоритма шифрования truecrypt, которые могут значительно упростить поиск пароля, и, конечно, самый сложный пароль в мире бесполезен, если компьютер, на котором вы его используете, взломан.
Мы бы прокомментировали ответ Фоши следующим образом: «Брут-форс не является жизнеспособной атакой при использовании сложного шифрования текущего поколения, почти всегда».
Как мы подчеркивали в нашей недавней статье, Объяснение атак с использованием грубой силы: как уязвимо все шифрование, возрастает срок действия схем шифрования и повышается мощность оборудования, поэтому то, что раньше было жесткой целью, - всего лишь вопрос времени (например, алгоритм шифрования паролей Microsoft NTLM) победим в считанные часы.
Есть что добавить к объяснению? Звук выключен в комментариях. Хотите узнать больше ответов от других технически подкованных пользователей Stack Exchange? Ознакомьтесь с полным обсуждением здесь.