Насколько небезопасен мой короткий пароль на самом деле?

17

При использовании таких систем, как TrueCrypt, когда мне приходится определять новый пароль, мне часто сообщают, что использование короткого пароля небезопасно и «очень легко» взломать методом перебора.

Я всегда использую пароли длиной 8 символов, которые не основаны на словарных словах, которые состоят из символов из набора AZ, az, 0-9

Т.е. я использую пароль типа sDvE98f1

Насколько легко взломать такой пароль грубой силой? Т.е. как быстро.

Я знаю, что это сильно зависит от аппаратного обеспечения, но, может быть, кто-нибудь подскажет, сколько времени потребуется, чтобы сделать это на двухъядерном процессоре с тактовой частотой 2 ГГц или что-то еще, чтобы иметь ориентир для аппаратного обеспечения.

Чтобы атаковать с помощью bruute-force такого пароля, нужно не только циклически проходить все комбинации, но также пытаться расшифровывать каждый угаданный пароль, что также требует некоторого времени.

Кроме того, есть ли какое-то программное обеспечение для взлома «грубой силы» truecrypt, потому что я хочу попытаться взломать мой собственный пароль, чтобы узнать, сколько времени это займет, если это действительно так «очень просто».

user31073
источник
10
Теперь, когда вы сказали нам, что ваши пароли всегда состоят из 8 символов, а не слов из словаря, вы сделали это намного проще ;-)
Josh
Черт! Я должен был лучше взять словарь слова ... :)
user31073
Если вы действительно беспокоитесь о паролях, попробуйте KeePass . Мое управление паролями достигло критической массы, и тогда KeePass изменил мою жизнь. Теперь мне нужно запомнить только 2 пароля: один для входа в мой компьютер и один для входа в мою базу данных KeePass. Все мои пароли (и большинство моих имен пользователей) теперь уникальны и чрезвычайно сложны, и использовать комбинацию имени пользователя и пароля так же просто, как CTRL+ ALT+, Aесли я вошел в KeePass.
Ubiquibacon

Ответы:

11

Если злоумышленник может получить доступ к хэшу пароля, его очень легко переборить, поскольку он просто влечет за собой хеширование паролей до совпадения хэшей.

Надежность хэша зависит от того, как хранится пароль. Для создания хэша MD5 может потребоваться меньше времени, чем для хэша SHA-512.

Windows обычно (и может все еще, я не знаю) хранит пароли в формате хэша LM, который вводит верхний регистр пароля и разделяет его на два 7-символьных блока, которые затем хэшируются. Если бы у вас был 15-значный пароль, это не имело бы значения, потому что в нем хранились только первые 14 символов, и было легко перебором, потому что вы не переборщили 14-символьный пароль, вы просто взяли два 7-символьных пароля.

Если вы чувствуете необходимость, скачайте такую ​​программу, как John The Ripper или Cain & Abel (ссылки удержаны) и протестируйте ее.

Я помню возможность генерировать 200 000 хэшей в секунду для хэша LM. В зависимости от того, как Truecrypt хранит хэш, и может ли он быть извлечен из заблокированного тома, это может занять больше или меньше времени.

Атаки грубой силой часто используются, когда атакующему нужно пройти через большое количество хэшей. После пробежки по общему словарю они часто начинают отсеивать пароли обычными атаками грубой силы. Пронумерованные пароли до десяти, расширенные буквенно-цифровые, буквенно-цифровые и общие символы, буквенно-цифровые и расширенные символы. В зависимости от цели атаки это может привести к различным показателям успеха. Попытка поставить под угрозу безопасность одной учетной записи, в частности, часто не является целью.

Джош К
источник
Спасибо за этот ответ. Я должен был упомянуть, что я обычно использую RIPEMD-160 для хэш-функции. Что касается пароля, то, как я его сгенерировал, как описано выше, это 218340105584896 возможных паролей (26 + 26 + 10) ^ 8 (но злоумышленник этого не знает). Поэтому мне просто интересно, защищены ли такие пароли от атак методом "грубой силы" в разумных пределах (я не говорю о клавиатурных шпионах, криотриках или криптографии с резиновым шлангом, а только о подборе пароля методом "грубой силы"). И я в основном использую TrueCrypt.
user31073
Просто чтобы уточнить, вы ответили на мой вопрос, исходя из 200 000 комбинаций из 218340105584896 на 1 узел, это займет ~ 36 лет, при условии, что злоумышленник знает длину пароля. Это также то, что дает мне онлайн калькулятор. Благодарность!
user31073
Если они могут получить хеш, тогда да, можно провести атаку грубой силой. Будь они успешны или нет, во многом зависит от того, как много они знают о пароле и сколько у них времени. Ответ обновлен.
Джош К
3
Помните, что 36 лет быстро, если вы предварительно вычислите хэши, используя распределенную сеть. Если вы используете 1000 компьютеров, то это просто управляемое число.
Рич Брэдшоу
1
Также полезно напомнить, что при увеличении длины пароля сложность увеличивается очень сильно. Если пароль на 8 символов занимает 36 лет, удвоение длины до 16 символов не удваивает время, а вместо этого прыгает до 7663387620052652 года. :)
Илари Каясте
4

Brute-Force не является жизнеспособной атакой , почти всегда. Если злоумышленник ничего не знает о вашем пароле, он не получит его путем перебора на этой стороне 2020 года. Это может измениться в будущем, по мере развития оборудования (например, можно использовать все, сколько угодно, сколько у него есть) теперь ядра на i7, что значительно ускоряет процесс (все еще говорят годы)

Если вы хотите быть -super-secure, вставьте туда символ расширенной-ascii (удерживайте alt, используйте цифровую клавиатуру, чтобы ввести число больше 255). Это в значительной степени гарантирует, что простая грубая сила бесполезна.

Вы должны быть обеспокоены потенциальными недостатками алгоритма шифрования truecrypt, которые могут значительно упростить поиск пароля, и, конечно, самый сложный пароль в мире бесполезен, если компьютер, на котором вы его используете, скомпрометирован.

Phoshi
источник
Хотя это правда, что атаки методом "грубой силы" редко бывают успешными в отношении одной цели, если бы я выкинул базу данных пользователей для веб-сайта, использующего MD5 для хеширования паролей, я мог бы легко загрузить их и применить против них грубую силу с ограничением 6 символов, альфа +, цифра и символы. У меня не будет 100% успеха, но я смогу скомпрометировать приличное количество учетных записей.
Джош К
Если соль была статичной, конечно. Так не должно быть. И это не совсем грубая сила, это просто поиск по заранее вычисленному радужному столу. Есть причина, по которой мы
солим
Сколько сайтов солит хэши? Разве радужный стол не является просто атакой грубой силы, сжатой в файл? ;) Я хочу сказать, что если у вас есть 1000 пользователей с паролями, некоторые из них должны иметь такие же пароли 12blue.
Джош К
Если веб-сайт не использует их хэш, они делают это неправильно. Радужный стол - это просто любое возможное значение, так что, как и в случае с предварительно вычисленной грубой силой, это правда. | l2blueвсе еще не должен быть грубым с хорошей солью, и все еще потребовалось бы много времени, чтобы пройти через это. (2176782336 возможных комбинаций, при условии, что атакующий знает, что это a-z0-9)
Phoshi
1
Плохо использовать символы расширенного ascii, если вы не уверены, что это будет принято базой данных. Чаще всего мой пароль был поврежден, и система не смогла сопоставить его с тем, что я ввожу при входе в систему, даже если он точно такой же. Это происходит потому, что юникод все еще не является общепринятым стандартом, а кодирование текста в большинстве мест плохо обрабатывается.
Cregox
2

Вы можете использовать этот онлайн-инструмент для оценки http://lastbit.com/pswcalc.asp

Sebtm
источник
Насколько точен этот сайт?
Джош
1
@Josh; Похоже, что это просто математика, поэтому совершенно точно, учитывая правильные пароли / второе значение.
Фоши
Любая идея, почему howsecureismypassword.net говорит, что взломать этот пароль займет всего 10 дней?
sgmoore
1

РЕДАКТИРОВАТЬ: Другие дали хорошие ответы на часть вашего вопроса относительно "Насколько легко взломать такой пароль с помощью грубой силы? Т.е. как быстро"

Чтобы ответить на эту часть вашего вопроса:

Кроме того, есть ли какое-то программное обеспечение для взлома «грубой силы» truecrypt, потому что я хочу попытаться взломать мой собственный пароль, чтобы узнать, сколько времени это займет, если это действительно так «очень просто».

Вот множество вариантов брутфорса Truecrypt

Вот еще один из Принстонского университета.

мистифицировать
источник
Это не отвечает на его вопрос о том, насколько безопасен его короткий пароль, и вместо этого выкладывает различные другие атаки на платформу Truecrypt.
Джош К
@Josh K: Нет, он отвечает на его вопрос: «Кроме того, есть ли какое-то программное обеспечение для взлома« грубой силы »truecrypt, потому что я хочу попытаться взломать мой собственный пароль», чтобы увидеть, сколько времени это займет, если это действительно так «очень легко'."
Джош
1
@ Джош теперь, не борись друг с другом! Вы оба на самом деле один и тот же человек, не так ли?
Cregox
Нет, на самом деле мы не
Джош К
0

Пароль:

Это простой, но длинный пароль.

является значительно более устойчив к грубой силе, в том числе на основе словарных атак, чем:

sDvE98f1

Поэтому использование короткого, но сложного пароля просто непродуктивно. Это сложнее запомнить и менее безопасно.

Используйте простую, но длинную фразу.

Томас Бонини
источник
источник?
HyperSlug
@ Hyper: простая математика средней школы?
Томас Бонини,
1
У Рэндалла есть полезная визуализация длины и сложности: xkcd.com/936
Чарльз Линдсей,