Недавно я получил рекомендацию установить пароль длиной более 20 символов. Алгоритм, используемый для шифрования, представляет собой AES с 256-битным первичным ключом. Насколько безопасен, скажем, 8-символьный пароль от атак методом перебора для расшифровки зашифрованных файлов?
Я знаю, что это считается хорошим размером пароля на большинстве сайтов. Одна из причин этого заключается в том, что они могут остановить атаку после 3 попыток или около того.
Вы можете указать, кто бы ни написал эту политику в этом сообщении в блоге от Брюса Шнайера .
Это хорошая статья о том, почему надежность паролей - это наименьшая из проблем в Интернете.
источник
Посмотрите на принятый ответ в этом посте . Показывает, что даже 8-символьный пароль, использующий полный набор символов, может взломать ~ 10000 лет!
источник
Если вы считаете использование радужных таблиц в качестве грубой силы (мнения различаются), то для 8 символов с использованием радужных таблиц, которые включают все символы в пароле, около 10 секунд. Пароль из 20 символов (те же символы, те же радужные таблицы), менее 30 секунд. Подвох в том, что генерация таблиц занимает много времени. Мой потребовалось около месяца, чтобы сгенерировать на машине 3 ГГц обработку только ночью. С другой стороны, вам нужно сделать это только один раз.
Проблема с запоминанием длинных паролей легко решается с помощью комбинации подстановки символов и использования фразы. Даже что-то простое "# Fr3ddy M3rcury #" достаточно сложно для большинства применений, но при этом удивительно легко запомнить.
источник
Учтите, что пароль из восьми символов можно запомнить. Пароль из 20 символов будет записан.
И тогда кто-то может прочитать это.
источник
Вас может заинтересовать статья « Пароли против парольных фраз ». Их вывод состоит в том, что полностью случайный пароль из 9 символов примерно эквивалентен парольной фразе из 6 слов. Но они чувствуют, что фразу из 6 слов будет легче запомнить.
источник
Все зависит от символов, которые вы используете, так как это меняет количество комбинаций, которые у вас есть. Предполагая 8 символов:
Словарное слово:
Строчные буквы: 26 8 или 208827064576
Строчные и прописные буквы: 52 8 или 53459728531456
Нижний, верхний и цифры: 62 8 или 218340105584896
Добавьте знаки препинания и другие символы, и перебор займет некоторое время.
Эти числа являются полными комбинациями, которые нужно попробовать. Очевидно, что хакер не собирается пробовать каждую комбинацию после получения пароля, поэтому разделите на два, чтобы получить среднее количество требуемых комбинаций.
Сложные хеши приводят к увеличению времени процессора для вычисления хеша, поэтому общее время увеличивается. Пример от Джона:
Конечно, все это чисто академично, потому что хакеры просто позвонят вашему секретарю и сообщат им, что они из ИТ-отдела, и им нужен какой-то пароль, а ваш надежный пароль бесполезен.
источник
Я использую нетривиальные парольные фразы для защиты
Меня меньше беспокоит моя учетная запись gmail, так как попытки перебора этого пароля грубой силой просто заблокируют учетную запись (и любой, у кого есть доступ к серверу, просто заменит хэш одним из своих вариантов, а не попытается его взломать).
Лучший пароль - длинный (> 12 символов) и криптографически случайный. Однако их труднее запомнить. Таким образом, фраза-пароль, которая объединяет несколько слов с кажущимися случайными символами, может быть хорошим компромиссом (возможно, первые 1 или 2 буквы первых двух строк текста вашей любимой песни).
источник
Существует безопасность, которую вы получаете от общения клиент / сервер, например, как вы сказали, когда вы можете остановить злоумышленников после 3 попыток (когда они атакуют по сети, как с веб-приложениями). При таком сценарии можно считать достаточной длину пароля практически любой длины.
Однако если инсайдер захватывает эту базу данных с помощью хэшированных коротких паролей и может обойти ограничение «по сети» в 3 попытки, игра изменится.
Предостережение с ограничением количества попыток на учетную запись заключается в том, что этого будет достаточно только для целевых попыток на одну конкретную учетную запись. Вам также необходимо защитить от атак на все учетные записи с заданным (или переставленным) паролем - это не вызовет тревоги, когда вы просто ограничите количество попыток на учетную запись. Учитывая сегодняшние NAT и ботнеты, вы даже не можете утверждать, что ограничение количества попыток на один IP - хороший способ думать о безопасности.
Хорошие ресурсы для чтения уже были даны в других ответах.
источник