Kısa şifrem gerçekten ne kadar güvensiz?

17

TrueCrypt gibi sistemleri kullanarak, yeni bir şifre tanımlamam gerektiğinde, kısa bir şifre kullanmanın güvensiz ve kaba kuvvetle kırılması "çok kolay" olduğu sık sık bilgilendirilirim.

Her zaman, AZ, az, 0-9 kümesindeki karakterlerden oluşan sözlük kelimelerine dayanmayan 8 karakter uzunluğunda parolalar kullanırım.

Yani sDvE98f1 gibi bir şifre kullanıyorum

Böyle bir şifreyi kaba kuvvetle kırmak ne kadar kolay? Yani ne kadar hızlı.

Ben büyük ölçüde donanıma bağlı olduğunu biliyorum ama belki biri bana 2GHZ ile çift çekirdekli veya donanım için bir referans çerçevesi olması ne olursa olsun bunu yapmak için ne kadar sürer tahmin verebilir.

Bu tür bir parolayı bilerek zorlamak için sadece tüm kombinasyonlar arasında geçiş yapmakla kalmaz, aynı zamanda biraz zaman gerektiren her bir parola ile şifreyi kaldırmayı dener.

Ayrıca, kaba-kuvvet kesmek truecrypt için bazı yazılım var çünkü ben gerçekten bu "çok kolay" ise ne kadar sürer görmek için kendi şifre benim kırma-kuvvet çatlamak denemek istiyorum.

security passwords truecrypt

— user31073
kaynak

10

Şifrelerinizin her zaman 8 karakter olduğunu ve sözlük kelimeleri olmadığını söylediğinize göre, bunu çok daha kolay hale getirdiniz ;-)

— Josh

Lanet olsun! Bir sözlük kelimesini

— almalıydım

Parolalarla ilgili endişeleriniz varsa KeePass'ı deneyin . Şifre yönetimim kritik kitleye ulaşmıştı, sonra KeePass hayatımı değiştirdi. Şimdi sadece 2 parolamı hatırlamak zorundayım, biri bilgisayarıma giriş, diğeri KeePass veritabanına giriş yapmak için. Tüm şifrelerim (ve kullanıcı adlarımın çoğu) artık benzersiz ve son derece karmaşık ve bir kullanıcı adı / şifre kombinasyonu kullanmak KeePass'a giriş yapmışsam CTRL+ ALT+ kadar kolay A.

— ubiquibacon

11

Saldırgan, parola karmasına erişebiliyorsa, karma eşleşene kadar parolaların karıştırılmasını gerektirdiğinden, genellikle kaba kuvvet uygulamak çok kolaydır.

Karma "güç" parolanın nasıl saklandığına bağlıdır. Bir MD5 karmasının bir SHA-512 karmasından daha az zaman alması gerekebilir.

Windows, şifreleri LM karma biçiminde saklardı (ve hala bilmiyorum), bu da şifreyi üstlenir ve daha sonra karma olan iki 7 karakterlik parçalara böler. 15 karakterlik bir parolanız olsaydı, sadece ilk 14 karakteri sakladığı için önemli olmazdı ve 14 karakterlik bir parolayı zorlayan kaba olmamanız nedeniyle kaba kuvvet uygulamak kolaydı, iki 7 karakterlik parolayı zorlayan kabatasınız.

İhtiyacınız olduğunu düşünüyorsanız, John The Ripper veya Cain & Abel (bağlantılar kesilir) gibi bir program indirin ve test edin.

LM hash için saniyede 200.000 hash üretebildiğimi hatırlıyorum. Truecrypt'in karmayı nasıl sakladığına bağlı olarak ve kilitli bir birimden alınabiliyorsa, daha fazla veya daha az zaman alabilir.

Kaba kuvvet saldırıları genellikle saldırganın geçmesi gereken çok sayıda karması olduğunda kullanılır. Ortak bir sözlükten geçtikten sonra, sık sık kaba kuvvet saldırılarıyla şifreleri ayıklamaya başlarlar. On taneye kadar numaralandırılmış şifreler, genişletilmiş alfa ve sayısal, alfasayısal ve ortak semboller, alfasayısal ve genişletilmiş semboller. Saldırının amacına bağlı olarak, değişen başarı oranlarına yol açabilir. Özellikle bir hesabın güvenliğinden taviz vermeye çalışmak çoğu zaman amaç değildir.

— Josh K
kaynak

Bu cevap için teşekkürler. Hash fonksiyonu için normalde RIPEMD-160 kullandığımı söylemeliydim. Ve şifre için, yukarıda açıkladığım şekilde 218340105584896 olası şifre (26 + 26 + 10) ^ 8'dir (ancak saldırgan bunu bilmez). Sadece bu tür şifreleri kaba kuvvet saldırılarına karşı güvenli olup olmadığını merak Yani nedenle içinde (sadece ilgili, keylogger, cryotricks veya kauçuk hortum şifreleme bahsetmiyorum kaba kuvvet parola tahmin). Ve çoğunlukla TrueCrypt kullanıyorum.

— user31073

Açıklığa kavuşturmak için, saldırganın şifre uzunluğunu bilmesi koşuluyla, 1 düğümdeki 218340105584896 kombinasyonları için 200.000'e dayanarak sorumu cevapladınız. Çevrimiçi hesap makinesinin bana verdiği şey de budur. Teşekkürler!

— user31073

Eğer hash elde etmeleri mümkünse, evet kaba bir kuvvet saldırısı yapmak mümkündür. Başarılı olup olmadıkları, parola hakkında ne kadar bildiklerine ve ne kadar zamanları olduğuna bağlıdır. Yanıt güncellendi.

— Josh K

3

Dağıtılmış bir ağ kullanarak karmaları önceden hesaplarsanız 36 yılın hızlı olduğunu unutmayın. 1000 bilgisayar kullanıyorsanız, bu yönetilebilir bir sayıdır.

— Zengin Bradshaw

1

Parola uzunluğunu artırarak zorluğun büyük ölçüde arttığını hatırlatmak da iyidir. 8 karakterlik şifre 36 yıl alırsa, uzunluğu 16 karaktere kadar ikiye katlayarak zaman iki katına çıkmaz, bunun yerine 7663387620052652 yıla kadar atlar. :)

— Ilari Kajaste

3

Brute-Force , neredeyse hiçbir zaman geçerli bir saldırı değildir . Saldırgan, şifreniz hakkında hiçbir şey bilmiyorsa, 2020'nin bu tarafını kaba kuvvetle almaz. Donanım ilerledikçe bu gelecekte değişebilir (Örneğin, her ne kadar çok olsa da, şimdi bir i7 çekirdeği, süreci büyük ölçüde hızlandırıyor (Yine de yıllar sürüyor)

-Süper güvenli olmak istiyorsanız, oraya genişletilmiş bir ascii sembolü yapıştırın (Alt tuşunu basılı tutun, 255'ten büyük bir sayı yazmak için sayısal tuş takımını kullanın). Bunu yapmak, basit bir kaba kuvvetin işe yaramaz olmasını sağlar.

Truecrypt'in şifreleme algoritmasındaki bir şifre bulmayı daha kolay hale getirebilecek olası kusurlardan endişe etmelisiniz ve elbette, kullandığınız makine tehlikeye atıldığında dünyadaki en karmaşık şifre işe yaramaz.

— Phoshi
kaynak

Kaba kuvvet saldırılarının tek bir hedefe karşı nadiren başarılı olduğu doğru olsa da, şifreleri çözmek için MD5 kullanan bir web sitesi için kullanıcı veritabanını dökersem, bunları kolayca yükleyebilir ve buna karşı bir kaba kuvvet uygulayabilirim. 6 karakter, alfa +, sayısal ve simgeler. % 100 başarıya ulaşamazdım, ancak çok sayıda hesaptan ödün verebilecektim.

— Josh K

Tuz statik olsaydı, kesinlikle. Olmamalı. Ve bu gerçekten kaba bir kuvvet değil, sadece önceden hesaplanmış bir gökkuşağı masasını arıyor.

— Hashlerimizi tuzlamamız

Hashler kaç web sitesi tuz? Gökkuşağı masası bir dosyaya sıkıştırılmış kaba kuvvet saldırısı değil midir? ;) Benim açımdan, şifreleri olan 1000 kullanıcı varsa, bazılarının gibi şifreler olması gerekir 12blue.

— Josh K

Bir web sitesi karmalarını tuzlamıyorsa, yanlış yapıyorlar. Bir gökkuşağı tablosu mümkün olan her değerdir, bu yüzden önceden hesaplanmış bir kaba kuvvet gibi sorta, doğru. | l2blueyine de iyi bir tuzla kaba kuvvetlenmemeli ve bundan geçmek uzun zaman alacaktı. (2176782336, saldırganın a-z0-9 olduğunu bildiğini varsayarak olası kombinasyonlar)

— Phoshi

1

Veritabanı tarafından kabul edileceğinden emin değilseniz, genişletilmiş ascii sembollerini kullanmak kötü bir fikirdir. Sık sık şifremi bozdum ve sistem, tam olarak aynı olsa bile, girişte yazdıklarım ile eşleştiremedi. Bunun nedeni, unicode hala ortak bir standart olmadığı ve çoğu yerde metin kodlamanın kötü işlendiği anlamına gelir.

— cregox

2

Bu çevrimiçi aracı bir tahmin için kullanabilirsiniz http://lastbit.com/pswcalc.asp

— Sebtm
kaynak

Bu site ne kadar doğru?

— Josh

1

@Josh; Görünüşe göre sadece matematik yapıyor, doğru şifreler / saniye değeri göz önüne alındığında mükemmel doğrulukta.

— Phoshi

Howsecureismypassword.net'in bu şifreyi kırmanın sadece 10 gün sürdüğünü söyleyen bir fikriniz var mı?

— sgmoore

1

EDIT: Diğerleri "brute-force böyle bir şifre kırmak ne kadar kolay? Yani ne kadar hızlı" ile ilgili sorunuz kısmı için iyi cevaplar verdi

Sorunuzun bu kısmını ele almak için:

Ayrıca, kaba-kuvvet kesmek truecrypt için bazı yazılım var çünkü ben gerçekten bu "çok kolay" ise ne kadar sürer görmek için kendi şifre benim kırma-kuvvet çatlamak denemek istiyorum.

Bruteforcing Truecrypt için çeşitli seçenekler

İşte Princeton Üniversitesi'nden bir tane daha .

— alay etmek
kaynak

Bu, kısa şifresinin ne kadar güvenli olduğu hakkındaki sorusunu cevaplamaz ve bunun yerine Truecrypt platformuna çeşitli saldırılar düzenler.

— Josh K

@Josh K: Hayır, şu soruyu yanıtlıyor: "Ayrıca, kaba kuvvet kesmek için bazı yazılımlar var, çünkü gerçekten ne kadar uzunsa, ne kadar sürdüğünü görmek için kendi parolamı kırmaya çalışmak istiyorum. kolay'."

— Josh

1

@Şimdi şimdi, birbirinizle kavga etmeyin! İkiniz de aslında aynı kişisiniz, değil mi?

— cregox

Hayır, aslında değiliz.

— Josh K

0

Şifre:

Bu basit ama uzun bir şifre.

olduğu ölçüde daha Sözlük tabanlı saldırılara dahil kaba kuvvet, daha dirençli:

sDvE98f1

Bu yüzden kısa ama zor bir şifre kullanmak ters etki yaratır. Hatırlamak daha zor ve daha az güvenli.

Basit ama uzun bir ifade kullanın.

— Thomas Bonini
kaynak

kaynak?

— hyperslug

@hyper: basit lise matematik?

— Thomas Bonini

1

Randall uzunluk ve karmaşıklık hakkında yararlı bir görselleştirmeye sahip: xkcd.com/936

— Charles Lindsay

0

GRC'nin samanlığı, çevrimdışı bir saldırıda şifrenizi kırmanın 36.99 dakika süreceğini söyledi. https://www.grc.com/haystack.htm

— xxl3ww
kaynak