Hjemmeside » hvordan » Er korte adgangskoder virkelig så usikre?

    Er korte adgangskoder virkelig så usikre?


    Du kender boret: brug en lang og varieret adgangskode, brug ikke den samme adgangskode to gange, brug en anden adgangskode til hvert websted. Bruger en kort adgangskode virkelig så farlig?
    Dagens Spørgsmål & Svar session kommer til os med venlig hilsen af ​​SuperUser-en underafdeling af Stack Exchange, en community-driven gruppe af Q & A-websteder.

    Spørgsmålet

    SuperUser-læser user31073 er ​​nysgerrig, om han virkelig bør holde sig over disse advarsler med kort adgangskode:

    Ved at bruge systemer som TrueCrypt, når jeg skal definere en ny adgangskode, bliver jeg ofte underrettet om at bruge en kort adgangskode er usikker og "meget nem" at bryde med brute-force.

    Jeg bruger altid adgangskoder med 8 tegn i længden, som ikke er baseret på ordbogsord, der består af tegn fra sæt A-Z, a-z, 0-9

    Dvs. Jeg bruger adgangskode som sDvE98f1

    Hvor nemt er det at knuse et sådant kodeord af brute-force? Dvs. hvor hurtigt.

    Jeg ved, at det er meget afhængigt af hardwaren, men måske kan nogen give mig et skøn, hvor lang tid det ville tage at gøre dette på en dobbeltkern med 2GHz eller hvad som helst for at have en referenceramme for hardware.

    Til brute-force angreb er et sådant kodeord ikke kun at cykle gennem alle kombinationer, men også forsøge at dekryptere med hver gættet kodeord, som også har brug for noget tid.

    Er der også noget software til brute-force hack TrueCrypt, fordi jeg vil forsøge at brute-force sprænge mit eget kodeord for at se hvor lang tid det tager, hvis det virkelig er så "meget nemt".

    Er korte tilfældige tegn passwords virkelig i fare?

    Svaret

    SuperUser bidragyder Josh K. fremhæver, hvad angriberen ville have brug for:

    Hvis angriberen kan få adgang til password-hash, er det ofte meget let at brute force, da det blot indebærer hashing-adgangskoder, indtil hashene matcher.

    Hash "styrke" er afhængig af, hvordan adgangskoden er gemt. En MD5 hash kan tage mindre tid at generere end en SHA-512 hash.

    Windows plejede at (og det kan jeg stadig ikke vide) gemme adgangskoder i et LM hash-format, der opslåede adgangskoden og opdele det i to 7 tegnbiter, der derefter blev hashed. Hvis du havde et kodeord på 15 tegn, ville det ikke have betydning, fordi det kun lagrede de første 14 tegn, og det var let at brute kraft, fordi du ikke var brutal på at tvinge et 14 tegn kodeord, du var brutalt tvunget to 7 tegn passwords.

    Hvis du føler behovet, skal du downloade et program som John The Ripper eller Cain & Abel (links tilbageholdt) og teste det.

    Jeg husker at kunne generere 200.000 hasher et sekund for en LM hash. Afhængigt af hvordan Truecrypt gemmer hash, og hvis det kan hentes fra et låst volumen, kan det tage mere eller mindre tid.

    Brutte kraftangreb bruges ofte, når angriberen har et stort antal hash'er til at gå igennem. Efter at have kørt gennem en fælles ordbog begynder de ofte at lukke adgangskoder ud med almindelige brute force angreb. Nummerede adgangskoder op til ti, udvidede alfa og numeriske, alfanumeriske og almindelige symboler, alfanumeriske og udvidede symboler. Afhængigt af målet om angrebet kan det føre til varierende succesrate. Forsøg på at kompromittere sikkerheden for en konto i særdeleshed er ofte ikke målet.

    En anden bidragyder, Phoshi udvider på ideen:

    Brute-Force er ikke et levedygtigt angreb, stort set nogensinde. Hvis angriberen ikke ved noget om dit kodeord, får han det ikke gennem brute-force denne side af 2020. Det kan ændre sig i fremtiden, som hardware fremskridt (For eksempel kan man bruge alle de mange-det-har- nu kerner på en i7, massivt fremskynde processen (stadig talende år, selvom))

    Hvis du vil være sikker, skal du holde et udvidet ascii-symbol derinde (Hold alt, brug nummeret til at indtaste et nummer større end 255). Det gør stort set, at en ren brute-force er ubrugelig.

    Du bør være bekymret over potentielle fejl i truecrypt's krypteringsalgoritme, hvilket kunne gøre det meget nemmere at finde en adgangskode, og selvfølgelig er den mest komplekse adgangskode i verden ubrugelig, hvis den maskine, du bruger den på, er kompromitteret.

    Vi ville annotere Phoshi svar for at læse "Brute-force er ikke et levedygtigt angreb, når vi bruger avanceret nuværende generation kryptering, stort set nogensinde".

    Som vi fremhævede i vores nylige artikel, forklares Brute Force Attacks: Hvor al kryptering er sårbar, krypteringsordninger alder og hardwarekraft øges, så det er kun et spørgsmål om tid før det, der tidligere var et hårdt mål (som Microsoft's NTLM password encryption algorithm) er besejret i løbet af få timer.

    Har du noget at tilføje til forklaringen? Lyde af i kommentarerne. Vil du læse flere svar fra andre tech-savvy Stack Exchange brugere? Tjek den fulde diskussionstråd her.

    Er der nogen fordele ved at stikke din mus i en USB 3.0-port?
    Er der nogen risici ved at bruge Y-kabler med USB Peripheral Devices?
    Er Razer's zSilver Gaming Belønninger det værd?
    Næste artikel
    Er Smart Locks Secure?
    Forrige artikel
    Er klare websider dræbt webdesign?