รหัสผ่านสั้น ๆ ของฉันไม่ปลอดภัยแค่ไหน?

17

การใช้ระบบเช่น TrueCrypt เมื่อฉันต้องกำหนดรหัสผ่านใหม่ฉันมักจะได้รับแจ้งว่าการใช้รหัสผ่านสั้น ๆ นั้นไม่ปลอดภัยและ "ง่ายมาก" ในการทำลายโดยการใช้กำลังดุร้าย

ฉันมักจะใช้รหัสผ่านที่มีความยาว 8 ตัวอักษรซึ่งไม่ได้ขึ้นอยู่กับคำในพจนานุกรมซึ่งประกอบด้วยอักขระจากชุด AZ, az, 0-9

คือฉันใช้รหัสผ่านเช่น sDvE98f1

มันง่ายแค่ไหนที่จะถอดรหัสรหัสผ่านดังกล่าวด้วยการใช้กำลังดุร้าย? คือเร็วแค่ไหน

ฉันรู้ว่ามันขึ้นอยู่กับฮาร์ดแวร์เป็นอย่างมาก แต่อาจมีบางคนประเมินฉันว่าต้องใช้เวลานานแค่ไหนในการทำสิ่งนี้บนดูอัลคอร์กับ 2GHZ หรืออะไรก็ตามที่มีกรอบอ้างอิงสำหรับฮาร์ดแวร์

ในการโจมตีด้วย briute-force รหัสผ่านนี้ไม่เพียง แต่จะต้องทำการวนผ่านชุดค่าผสมทั้งหมดเท่านั้น แต่ยังต้องพยายามยกเลิกการเข้ารหัสด้วยรหัสผ่านที่เดาไว้ซึ่งจำเป็นต้องใช้เวลาด้วย

นอกจากนี้ยังมีซอฟต์แวร์บางอย่างสำหรับการเจาะแฮกเกอร์ truecrypt เพราะฉันต้องการลองใช้ brute-force crack passsword ของฉันเองเพื่อดูว่าต้องใช้เวลานานแค่ไหนถ้ามันง่ายจริงๆ

security  passwords  truecrypt 
user31073
แหล่งที่มา
10
ตอนนี้คุณได้บอกรหัสผ่านของคุณแล้วว่ามี 8 ตัวอักษรไม่ใช่คำในพจนานุกรมคุณทำให้มันง่ายขึ้นมาก ;-)
Josh
ประณาม! ฉันน่าจะใช้คำศัพท์พจนานุกรมดีกว่า ... :)
user31073
หากคุณมีความกังวลมากเกี่ยวกับรหัสผ่านลองKeePass การจัดการรหัสผ่านของฉันถึงขั้นวิกฤตแล้ว KeePass เปลี่ยนชีวิตของฉัน ตอนนี้ฉันต้องจำรหัสผ่าน 2 อันหนึ่งรหัสเพื่อเข้าสู่ระบบคอมพิวเตอร์ของฉันและอีกหนึ่งรหัสเพื่อเข้าสู่ฐานข้อมูล KeePass ของฉัน รหัสผ่านทั้งหมดของฉัน (และชื่อผู้ใช้ส่วนใหญ่ของฉัน) ตอนนี้ไม่ซ้ำกันและซับซ้อนมากและการใช้ชื่อผู้ใช้ / คำสั่งผสมรหัสผ่านเป็นเรื่องง่ายเหมือนCTRL+ ALT+ Aถ้าฉันเข้าสู่ระบบ KeePass
ubiquibacon

คำตอบ:

11

หากผู้โจมตีสามารถเข้าใช้งานแฮชรหัสผ่านได้บ่อยครั้งมันง่ายมากที่จะบังคับให้เดรัจฉาน

"ความแข็งแกร่ง" ของแฮชจะขึ้นอยู่กับวิธีการจัดเก็บรหัสผ่าน MD5 แฮชอาจใช้เวลาน้อยลงในการสร้างแฮช SHA-512

Windows เคยใช้ (และอาจยังฉันไม่รู้) เก็บรหัสผ่านในรูปแบบ LM hash ซึ่งใช้รหัสผ่านตัวใหญ่และแยกออกเป็นสองตัวอักษร 7 ตัวซึ่งถูกแฮชแล้ว หากคุณมีรหัสผ่าน 15 ตัวอักษรมันจะไม่สำคัญเพราะมันเก็บไว้เพียง 14 ตัวแรกเท่านั้นและมันเป็นเรื่องง่ายที่จะดุร้ายเพราะคุณไม่ได้เดรัจฉานบังคับให้ใช้รหัสผ่าน 14 ตัว

หากคุณรู้สึกว่าต้องการให้ดาวน์โหลดโปรแกรมเช่น John The Ripper หรือ Cain & Abel (ลิงก์ที่ถูกระงับ) และทดสอบ

ฉันจำได้ว่าสามารถสร้างแฮชได้ 200,000 ครั้งต่อวินาทีสำหรับแฮช LM ขึ้นอยู่กับวิธีที่ Truecrypt จัดเก็บแฮชและหากสามารถดึงข้อมูลจากโวลุ่มที่ถูกล็อคได้อาจใช้เวลามากขึ้นหรือน้อยลง

การโจมตีด้วยกำลังดุร้ายมักใช้เมื่อผู้โจมตีมีแฮ็ชจำนวนมากที่ต้องผ่าน หลังจากเรียกใช้พจนานุกรมทั่วไปพวกเขามักจะเริ่มกำจัดรหัสผ่านด้วยการโจมตีแบบเดรัจฉาน รหัสผ่านที่กำหนดหมายเลขได้มากถึงสิบตัวสัญลักษณ์ตัวอักษรและตัวเลขตัวอักษรและตัวเลขทั่วไปสัญลักษณ์ตัวอักษรและตัวเลข ขึ้นอยู่กับเป้าหมายของการโจมตีนั้นสามารถนำไปสู่กับอัตราความสำเร็จที่แตกต่างกัน ความพยายามในการประนีประนอมความปลอดภัยของบัญชีหนึ่ง ๆ โดยเฉพาะนั้นไม่ใช่เป้าหมาย

Josh K
แหล่งที่มา
ขอบคุณสำหรับคำตอบนี้ ฉันควรจะพูดว่าปกติแล้วฉันจะใช้ RIPEMD-160 สำหรับฟังก์ชั่นแฮช และสำหรับรหัสผ่านด้วยวิธีที่ฉันสร้างมันตามที่อธิบายไว้ข้างต้นนั่นคือ 218340105584896 รหัสผ่านที่เป็นไปได้ (26 + 26 + 10) ^ 8 (แต่ผู้โจมตีไม่ทราบว่า) ดังนั้นฉันแค่สงสัยว่ารหัสผ่านดังกล่าวปลอดภัยจากการโจมตีด้วยกำลังดุร้ายหรือไม่ (ฉันไม่ได้พูดถึง keyloggers, cryotricks หรือการเข้ารหัสท่อยางเท่านั้นที่เกี่ยวข้องกับการคาดเดารหัสผ่านกำลังดุร้าย) และฉันส่วนใหญ่ใช้ TrueCrypt
user31073
คุณได้ตอบคำถามของฉันโดยใช้ 200,000 ชุดสำหรับ 218340105584896 ชุดใน 1 โหนดใช้เวลาประมาณ 36 ปีหากผู้โจมตีทราบความยาวของรหัสผ่าน นี่ก็เป็นสิ่งที่เครื่องคิดเลขออนไลน์มอบให้ฉัน ขอบคุณ!
user31073
หากเป็นไปได้สำหรับพวกเขาที่จะได้รับการแฮชใช่แล้วมันเป็นไปได้ที่จะทำการโจมตีด้วยกำลังดุร้าย ไม่ว่าพวกเขาจะประสบความสำเร็จหรือไม่นั้นขึ้นอยู่กับว่าพวกเขารู้รหัสผ่านมากแค่ไหนและมีเวลาเท่าไร อัปเดตคำตอบแล้ว
Josh K
3
จำไว้ว่า 36 ปีได้รับความรวดเร็วหากคุณคำนวณค่าแฮชล่วงหน้าด้วยเครือข่ายแบบกระจาย หากคุณใช้คอมพิวเตอร์ 1,000 เครื่องนั่นจะเป็นจำนวนที่จัดการได้
Rich Bradshaw
1
นอกจากนี้ยังเป็นการดีที่จะเตือนว่าการเพิ่มความยาวรหัสผ่านจะเพิ่มความยากลำบากอย่างมาก หากรหัสผ่าน 8 ถ่านใช้เวลา 36 ปีโดยเพิ่มความยาวเป็น 16 ตัวอักษรเป็นสองเท่าเวลาจะไม่เพิ่มขึ้นเป็นสองเท่า แต่จะเพิ่มขึ้นเป็น 7663387620052652 ปี :)
Ilari Kajaste
4

Brute-Force ไม่ใช่การโจมตีที่ทำงานได้สวยมากเลยทีเดียว หากผู้โจมตีไม่รู้อะไรเกี่ยวกับรหัสผ่านของคุณเขาจะไม่ได้รับมันผ่านทางเดรัจฉานบังคับด้านนี้ของปี 2020 ซึ่งอาจมีการเปลี่ยนแปลงในอนาคตตามความก้าวหน้าของฮาร์ดแวร์ (ตัวอย่างเช่นหนึ่งสามารถใช้ทั้งหมด - หลาย - มัน - มี - ตอนนี้แกนประมวลผลบน i7 เร่งความเร็วกระบวนการอย่างหนาแน่น (ยังคงพูดคุยปีแม้ว่า)

หากคุณต้องการที่จะ - ปลอดภัยมากขึ้นให้ติดสัญลักษณ์ Extended-Ascii ไว้ในนั้น (กด alt ให้ใช้ numpad เพื่อพิมพ์ตัวเลขที่มีขนาดใหญ่กว่า 255) การทำเช่นนั้นค่อนข้างมั่นใจได้ว่ากำลังดุร้ายธรรมดานั้นไร้ประโยชน์

คุณควรกังวลเกี่ยวกับข้อบกพร่องที่อาจเกิดขึ้นในอัลกอริธึมการเข้ารหัสของ truecrypt ซึ่งอาจทำให้การค้นหารหัสผ่านง่ายขึ้นและแน่นอนว่ารหัสผ่านที่ซับซ้อนที่สุดในโลกนั้นไร้ประโยชน์หากเครื่องที่คุณใช้อยู่ถูกบุกรุก

Phoshi
แหล่งที่มา
ในขณะที่มันเป็นความจริงที่การโจมตีแบบเดรัจฉานบังคับไม่ค่อยประสบความสำเร็จกับเป้าหมายเดียวถ้าฉันจะถ่ายโอนฐานข้อมูลผู้ใช้สำหรับเว็บไซต์ที่ใช้ MD5 เพื่อแฮชรหัสผ่านฉันสามารถโหลดมันได้อย่างง่ายดาย 6 ตัวอักษรอัลฟา + ตัวเลขและสัญลักษณ์ ฉันจะไม่ประสบความสำเร็จ 100% แต่ฉันจะสามารถประนีประนอมบัญชีที่เหมาะสมได้
Josh K
ถ้าเกลือคงที่แน่นอน มันไม่ควรจะเป็น และที่ไม่ได้จริงๆแรงเดรัจฉานอย่างใดอย่างหนึ่งมันเป็นเพียงแค่การค้นหากับตารางรุ้ง precomputed มีเหตุผลที่เราเติมแฮชของเรา;)
Phoshi
มีเว็บไซต์จำนวนเท่าใดที่ขัดแฮช? ตารางสายรุ้งไม่ใช่แค่การโจมตีแบบดุร้ายที่ถูกบีบอัดเป็นไฟล์หรือไม่? ;) จุดของฉันคือว่าถ้าคุณมี 1000 12blueผู้ใช้ที่มีรหัสผ่านบางส่วนของพวกเขาจะผูกพันที่จะต้องมีรหัสผ่านเช่น
Josh K
หากเว็บไซต์ไม่ขายกัญชาของพวกเขาพวกเขาทำผิด ตารางรุ้งเป็นเพียงค่าที่เป็นไปได้ทั้งหมดดังนั้น sorta จึงเหมือนกำลังดุร้ายที่ถูกคำนวณล่วงหน้าจริง | l2blueยังคงไม่ควรหักล้างได้ด้วยเกลือที่ดีและมันก็ยังคงต้องใช้เวลานานกว่าจะผ่านมันไปได้ (ชุดค่าผสมที่เป็นไปได้ 2176782336 สมมติว่าผู้โจมตีรู้ว่าเป็น a-z0-9)
Phoshi
1
เป็นความคิดที่ดีที่จะใช้สัญลักษณ์แบบขยาย -iiii ยกเว้นว่าคุณค่อนข้างแน่ใจว่าจะได้รับการยอมรับจากฐานข้อมูล บ่อยครั้งที่ฉันไม่ได้รับรหัสผ่านที่เสียหายและระบบไม่สามารถจับคู่กับสิ่งที่ฉันพิมพ์ในการเข้าสู่ระบบแม้ว่าจะเป็นแบบเดียวกันก็ตาม สิ่งนี้เกิดขึ้นเพราะยูนิโค้ดยังไม่เป็นมาตรฐานทั่วไปและการเข้ารหัสข้อความจะได้รับการปฏิบัติที่ไม่ดีในสถานที่ส่วนใหญ่
cregox
2

คุณสามารถใช้เครื่องมือออนไลน์นี้เพื่อการประเมิน http://lastbit.com/pswcalc.asp

Sebtm
แหล่งที่มา
ไซต์นั้นมีความแม่นยำเพียงใด
Josh
1
@ Josh; ดูเหมือนว่าจะเป็นเพียงแค่คณิตศาสตร์ดังนั้นความแม่นยำอย่างสมบูรณ์แบบเมื่อได้รับรหัสผ่าน / ค่าวินาทีที่ถูกต้อง
Phoshi
ความคิดใดที่ว่าทำไมhowsecureismypassword.netบอกว่าใช้เวลา 10 วันในการทำลายรหัสผ่านนี้
sgmoore
1

แก้ไข: คนอื่น ๆ ได้รับคำตอบที่ดีสำหรับส่วนของคำถามของคุณเกี่ยวกับ "วิธีง่าย ๆ ในการถอดรหัสรหัสผ่านดังกล่าวด้วยการใช้กำลังดุร้าย?

หากต้องการตอบคำถามนี้ในส่วนของคุณ:

นอกจากนี้ยังมีซอฟต์แวร์บางอย่างสำหรับการเจาะแฮกเกอร์ truecrypt เพราะฉันต้องการลองใช้ brute-force crack passsword ของฉันเองเพื่อดูว่าต้องใช้เวลานานแค่ไหนถ้ามันง่ายจริงๆ

นี่คือตัวเลือกที่หลากหลายสำหรับการลบล้างสัตว์ป่าที่แท้จริง

นี่คืออีกอันจาก Princeton University

หยอกเย้า
แหล่งที่มา
สิ่งนี้ไม่ตอบคำถามของเขาเกี่ยวกับความปลอดภัยของรหัสผ่านสั้น ๆ ของเขาและวางการโจมตีอื่น ๆ อีกมากมายบนแพลตฟอร์ม Truecrypt
Josh K
@Josh K: ไม่มันตอบคำถามของเขา "นอกจากนี้ยังมีซอฟต์แวร์บางอย่างที่ใช้กำลังขุดแฮกเกอร์ truecrypt เพราะฉันต้องการพยายามใช้กำลังดุร้ายเพื่อถอดรหัสรหัสผ่านของตัวเองเพื่อดูว่ามันใช้เวลานานแค่ไหนถ้ามันเป็นอย่างนั้นจริงๆ ง่าย'."
Josh
1
@Joshes ตอนนี้อย่าต่อสู้กันเอง! คุณทั้งคู่เป็นคนคนเดียวกันใช่มั้ย
cregox
ไม่จริงเราไม่ได้
Josh K
0

รหัสผ่าน:

นี่เป็นรหัสผ่านที่ง่าย แต่ยาว

เป็นอย่างมากมากขึ้นทนต่อแรงเดรัจฉานรวมทั้งพจนานุกรมโจมตีตามกว่า:

sDvE98f1

ดังนั้นการใช้รหัสผ่านสั้น ๆ แต่ยากเป็นเพียงการต่อต้าน มันยากที่จะจดจำและปลอดภัยน้อยกว่า

ใช้วลีที่เรียบง่าย แต่ยาว

โทมัสโบนินี
แหล่งที่มา
แหล่งที่มา?
hyperslug
@hyper: คณิตศาสตร์โรงเรียนมัธยมง่าย ๆ ?
โทมัส Bonini
1
Randall มีการสร้างภาพข้อมูลที่เป็นประโยชน์เกี่ยวกับความยาวและความซับซ้อน: xkcd.com/936
Charles Lindsay
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.