ฉันเพิ่งได้รับคำแนะนำสำหรับการตั้งรหัสผ่านของฉันให้สูงกว่า 20 ตัวอักษร อัลกอริทึมที่ใช้สำหรับการเข้ารหัสคือ AES พร้อมคีย์หลัก 256 บิต สมมุติว่ารหัสผ่านมีความปลอดภัยเพียง 8 ตัวเพื่อต่อต้านการโจมตีแบบ brute force ในการถอดรหัสไฟล์ที่เข้ารหัส?
ฉันรู้ว่านี่เป็นขนาดรหัสผ่านที่ดีในเว็บไซต์ส่วนใหญ่ เหตุผลหนึ่งคือพวกเขาสามารถหยุดการโจมตีหลังจาก 3 attemps หรือมากกว่านั้น
คำตอบ:
นี่เป็นบทความที่น่าสนใจhttp://www.lockdown.co.uk/?pg=combi&s=articlesรายละเอียดมันใช้เวลานานเท่าใดในทางทฤษฎีที่จะใช้การเดรัจฉานบังคับรหัสผ่านสำหรับความยาวและชุดสัญลักษณ์ที่แตกต่างกัน
คุณอาจต้องการที่จะชี้ให้ใครก็ตามที่เขียนนโยบายว่าในบล็อกโพสต์นี้จากบรูซ Schneier
เป็นการเขียนที่ดีว่าทำไมความแข็งแกร่งของรหัสผ่านจึงเป็นปัญหาน้อยที่สุดของทุกคนในเว็บ
ดูคำตอบที่ยอมรับในโพสต์นี้ แสดงให้เห็นว่าแม้แต่รหัสผ่าน 8 ตัวที่ใช้อักขระเต็มรูปแบบสามารถใช้เวลา 10,000 ปีในการถอดรหัส!
หากคุณนับการใช้ตารางรุ้งเป็นกำลังดุร้าย (ความคิดเห็นแตกต่างกันไป) สำหรับ 8 ตัวอักษรใช้ตารางสายรุ้งที่รวมอักขระทั้งหมดในรหัสผ่านประมาณ 10 วินาที รหัสผ่าน 20 ตัวอักษร (ตัวอักษรเดียวกัน, โต๊ะสายรุ้งเดียวกัน), น้อยกว่า 30 วินาที จับเป็นว่ามันใช้เวลานานในการสร้างตาราง ฉันใช้เวลาประมาณหนึ่งเดือนในการสร้างเครื่องประมวลผล 3GHz ในเวลากลางคืนเท่านั้น ในทางกลับกันคุณต้องทำเช่นนั้นเพียงครั้งเดียว
ปัญหาของการพยายามจดจำรหัสผ่านที่มีความยาวสามารถแก้ไขได้อย่างง่ายดายโดยการรวมกันของการเปลี่ยนตัวอักขระและการใช้วลี แม้แต่บางอย่างที่เรียบง่าย "# Fr3ddy M3rcury #" ก็ซับซ้อนพอสำหรับการใช้งานส่วนใหญ่ แต่ก็ยังจำได้ง่ายอย่างน่าทึ่ง
พิจารณาว่าอาจใช้รหัสผ่านแปดอักขระ รหัสผ่าน 20 ตัวจะถูกเขียนลง
แล้วบางคนก็สามารถอ่านได้
คุณอาจสนใจในบทความ " รหัสผ่านและวลีรหัสผ่าน " ข้อสรุปของพวกเขาคือรหัสผ่านแบบสุ่มทั้งหมด 9 ตัวอักษรนั้นเทียบเท่ากับวลีรหัสผ่าน 6 คำ แต่พวกเขารู้สึกวลี 6 คำจะง่ายต่อการจดจำ
ทุกอย่างขึ้นอยู่กับตัวละครที่คุณใช้เนื่องจากจะเปลี่ยนจำนวนชุดค่าผสมที่คุณมี สมมติว่า 8 ตัวอักษร:
คำในพจนานุกรม:
egrep "^. {8} $" / usr / share / dict / words | ห้องสุขา -l
15601ตัวพิมพ์เล็ก: 26 8หรือ 208827064576
ตัวอักษรพิมพ์เล็กและพิมพ์ใหญ่: 52 8หรือ 53459728531456
ด้านล่างด้านบนและหมายเลข: 62 8หรือ 218340105584896
เพิ่มเครื่องหมายวรรคตอนและสัญลักษณ์อื่น ๆ และการบังคับให้เดรัจฉานกำลังจะใช้เวลา
ตัวเลขเหล่านั้นคือชุดค่าผสมทั้งหมดที่จะต้องลอง เห็นได้ชัดว่าแฮ็กเกอร์จะไม่ลองชุดค่าผสมทุกครั้งหลังจากที่ได้รับรหัสผ่านดังนั้นให้หารสองชุดเพื่อรับชุดค่าผสมที่จำเป็นโดยเฉลี่ย
แฮชที่ยากขึ้นจะทำให้เวลา cpu นานขึ้นในการคำนวณแฮชดังนั้นเวลาทั้งหมดจะนานขึ้น ตัวอย่างจาก john:
การเปรียบเทียบ: DES ดั้งเดิม [64/64 BS] ... เสร็จสิ้น เกลือหลายตัว: 819187 c / s จริง 828901 c / s เสมือน เพียงเกลือเดียว: 874717 c / s จริง 877462 c / s เสมือน การเปรียบเทียบ: BSDI DES (x725) [64/64 BS] ... เสร็จสิ้น หลายเกลือ: 29986 c / s จริง, 30581 c / s เสมือน เพียงหนึ่งเกลือ: 29952 c / s จริง 30055 c / s เสมือน การเปรียบเทียบ: FreeBSD MD5 [32/64 X2] ... เสร็จสิ้น ดิบ: 8761 c / s จริง 8796 c / s เสมือน การเปรียบเทียบ: OpenBSD Blowfish (x32) [32/64] ... เสร็จสิ้น ดิบ: 354 c / s จริง 356 c / s เสมือน การเปรียบเทียบ: Kerberos AFS DES [48/64 4K] ... เสร็จสิ้น สั้น: 294507 c / s จริง 295754 c / s เสมือน ยาว: 858582 c / s จริง, 863887 c / s เสมือน การเปรียบเทียบ: NT LM DES [64/64 BS] ... เสร็จสิ้น ดิบ: 6379K c / s จริง 6428K c / s เสมือน การเปรียบเทียบ: NT MD4 [ทั่วไป 1x] ... เสร็จสิ้น ดิบ: 7270K c / s จริง, 7979K c / s เสมือน การเปรียบเทียบ: M $ Cache Hash [1x ทั่วไป] ... เสร็จสิ้น เกลือหลายตัว: 12201K c / s จริง 12662K c / s เสมือน เพียงเกลือเดียว: 4862K c / s จริง 4870K c / s เสมือน การเปรียบเทียบ: LM C / R DES [netlm] ... เสร็จสิ้น เกลือหลายตัว: 358487 c / s จริง 358487 c / s เสมือน เพียงเกลือเดียว: 348363 c / s จริง 348943 c / s เสมือน การเปรียบเทียบ: NTLMv1 C / R MD4 DES [netntlm] ... เสร็จสิ้น เกลือจำนวนมาก: 510255 c / s จริง, 512124 c / s เสมือน เพียงเกลือเดียว: 488277 c / s จริง 489416 c / s เสมือน
แน่นอนว่านี่เป็นเรื่องทางวิชาการอย่างสมบูรณ์เพราะแฮ็กเกอร์จะโทรศัพท์ถึงเลขานุการของคุณเพื่อบอกพวกเขาว่ามาจากไอทีและพวกเขาต้องการรหัสผ่านสำหรับบางสิ่งและรหัสผ่านที่แข็งแกร่งของคุณนั้นไม่มีค่า
ฉันใช้ข้อความรหัสผ่านที่ไม่สำคัญเพื่อปกป้อง
* สินทรัพย์ที่สำคัญ * สิ่งที่ไม่มีการป้องกันการตอก (ล็อกเอาต์หลังจากพยายามซ้ำแล้วซ้ำอีก) * สิ่งต่าง ๆ ที่สามารถสัมผัสได้กับการโจมตีที่โหดเหี้ยมบังคับ / อิงพจนานุกรม / ไฮบริด
ฉันกังวลน้อยลงกับบัญชี gmail ของฉันเนื่องจากความพยายามที่โหดร้ายในการถอดรหัสรหัสผ่านนั้นจะล็อคบัญชี (และทุกคนที่เข้าถึงเซิร์ฟเวอร์จะแทนที่แฮชด้วยการเลือกอย่างใดอย่างหนึ่งของพวกเขาไม่ใช่พยายามที่จะถอดรหัส)
วลีรหัสผ่านที่ดีที่สุดคือยาว (> 12 ตัวอักษร) และสุ่มเข้ารหัส อย่างไรก็ตามสิ่งเหล่านั้นยากต่อการจดจำ ดังนั้นวลีรหัสผ่านที่รวมหลายคำเข้ากับตัวละครแบบสุ่มที่ดูเหมือนจะเป็นการประนีประนอมที่ดี (อาจเป็นตัวอักษร 1 หรือ 2 ตัวแรกของสองบรรทัดแรกของบทเพลงที่คุณชื่นชอบ)
มีความปลอดภัยที่คุณได้รับจากการสื่อสารลูกค้า / เซิร์ฟเวอร์เช่นที่คุณพูดเมื่อคุณสามารถหยุดการโจมตีหลังจาก 3 ครั้ง (เมื่อพวกเขาโจมตีเครือข่ายเช่นเดียวกับเว็บแอปพลิเคชัน) ด้วยสถานการณ์นี้รหัสผ่านเกือบทุกความยาวสามารถโต้แย้งได้ว่าเพียงพอ
อย่างไรก็ตามหากผู้ใช้ข้อมูลภายในคว้าฐานข้อมูลนี้ด้วยรหัสผ่านแบบย่อที่ถูกแฮชและสามารถข้ามข้อ จำกัด "over the net" ได้ 3 ครั้งเกมจะเปลี่ยน
ข้อแม้ที่มีการ จำกัด จำนวนครั้งสำหรับแต่ละบัญชีก็คือสิ่งนี้จะพอเพียงสำหรับความพยายามเป้าหมายในบัญชีหนึ่ง ๆ เท่านั้น นอกจากนี้คุณยังต้องป้องกันการโจมตีในทุกบัญชีด้วยรหัสผ่านที่ได้รับ (หรืออนุญาต) ซึ่งจะไม่ส่งสัญญาณเตือนใด ๆ เมื่อคุณ จำกัด จำนวนครั้งสำหรับแต่ละบัญชี เมื่อพิจารณาจาก NAT และ botnets ในปัจจุบันคุณไม่สามารถโต้แย้งได้ว่าการ จำกัด จำนวนครั้งต่อไอพีเป็นวิธีคิดความปลอดภัยที่ดี
แหล่งข้อมูลที่ดีสำหรับการอ่านได้รับการตอบแล้ว