Làm thế nào an toàn là mật khẩu với độ dài dưới 20 ký tự?


10

Gần đây tôi đã nhận được một đề nghị cho việc đặt mật khẩu của mình lên trên 20 ký tự. Thuật toán được sử dụng để mã hóa là AES với khóa chính 256 bit. Làm thế nào an toàn là, giả sử, 8 mật khẩu char chống lại các cuộc tấn công vũ phu để giải mã các tập tin được mã hóa?

Tôi biết rằng đây được coi là một kích thước mật khẩu tốt trên hầu hết các trang web. Một lý do của việc này là họ có thể dừng một cuộc tấn công sau 3 lần hoặc lâu hơn.

Câu trả lời:


4

Đây là một bài viết thú vị http://www.lockdown.co.uk/ ?


Ok, đây là một liên kết rất thú vị. Nó cung cấp một ý tưởng tốt về loại lực bạn cần cho khung thời gian. Vì vậy, được cung cấp đủ tài nguyên, bạn cũng có thể phá mật khẩu 8 ký tự, đặc biệt nếu đó không phải là mật khẩu tốt.
cmserv

Nó vẫn sẽ mất 83,5 ngày với 100.000 mật khẩu / giây. Điều đó thực sự không thể đối với hầu hết các cuộc tấn công. Đặc biệt nếu bạn đang nói về mật khẩu máy chủ, thay vì cụm mật khẩu pgp. Nếu họ không có hàm băm, 8 ký tự (ngẫu nhiên) về cơ bản là không thể phá vỡ.
Cian

Tôi đã không nói về mật khẩu máy chủ bởi vì tôi biết ở đó bạn có thể sử dụng mật khẩu đơn giản hơn nhiều vì các máy chủ cung cấp bảo vệ bổ sung chống lại các cuộc tấn công. Tôi có nghĩa là trong các trường hợp khác, ví dụ mã hóa tập tin.
cmserv

Sẽ tốt hơn nếu cập nhật câu trả lời này. Liên kết không còn hữu ích, cung cấp "Đóng vĩnh viễn". Đối với bất kỳ ai muốn xem nội dung, máy wayback có mặt sau của bạn: web.archive.org/web/20180412051235/http://www.lockdown.co.uk/ Lỗi
Howard Lince III

Kết luận tôi thấy: trộn ít và chữ cái in hoa và chữ số. Độ dài> 15 là tốt.
Sinh viên

6

Bạn có thể muốn chỉ ra bất cứ ai đã viết chính sách đó tại bài đăng trên blog này từ Bruce Schneier .

Đó là một bài viết tốt về lý do tại sao sức mạnh của mật khẩu là vấn đề ít nhất của bất kỳ ai trên web.


+1 Vì Bruce Schneier là vua an ninh, lời nói của anh là luật pháp.
Mark Davidson

4

Nhìn vào câu trả lời được chấp nhận trong bài này . Cho thấy ngay cả mật khẩu 8 ký tự sử dụng toàn bộ các ký tự có thể mất ~ 10.000 năm để bẻ khóa!


1
Tôi cho rằng việc bạn đề cập đến một cuộc tấn công hạng A (10.000 Mật khẩu / giây). Nếu tôi nhìn vào bảng này và nghĩ về một tổ chức lớn hơn nó có thể thực hiện được với 86 Ký tự, 8 mật khẩu char, tấn công lớp E hoặc F: từ 34 đến 346 Ngày. Đây không phải là 10000 năm;)
cmserv

Thành thật mà nói tôi đã không kiểm tra các bài toán trong bài!
Marko Carter

3

Nếu bạn tính việc sử dụng các bảng cầu vồng là lực lượng vũ phu (ý kiến ​​khác nhau) thì trong 8 ký tự, sử dụng các bảng cầu vồng bao gồm tất cả các ký tự trong mật khẩu, khoảng 10 giây. Mật khẩu 20 ký tự (cùng ký tự, cùng bảng cầu vồng), dưới 30 giây. Điều hấp dẫn là phải mất nhiều thời gian để tạo các bảng. Tôi mất khoảng một tháng để tạo ra máy xử lý 3GHz chỉ vào ban đêm. Mặt khác, bạn chỉ cần làm điều đó một lần.

Vấn đề cố gắng nhớ mật khẩu dài dễ dàng được giải quyết bằng cách kết hợp thay thế ký tự và sử dụng một cụm từ. Ngay cả một thứ đơn giản như "# Fr3ddy M3rcury #" cũng đủ phức tạp cho hầu hết các mục đích sử dụng, nhưng lại rất dễ nhớ.


Mật khẩu MD5 sử dụng một loại muối khá lớn. Tôi không nghĩ các bảng cầu vồng của bạn sẽ đủ lớn để có cả mật khẩu 8 ký tự và tất cả các muối cho mỗi mật khẩu có thể.
chris

Bạn sẽ mạo hiểm an ninh của bạn về điều đó? Bảng của tôi có tổng cộng 25 GB. Đó là 40 bảng với 650 MB mỗi bảng. Một ngày nào đó tôi sẽ tạo ra một bộ lớn. :)
John Gardeniers

1
Ừm, không có 2 ^ 32 muối cho mật khẩu MD5? Đó là 2 ^ 32 * 650mb. Chúc may mắn với điều đó.
chris

Tôi đã thực hiện các bảng cầu vồng cho tất cả các ký tự LMII băm 64Gb mất gần một tuần bằng cách sử dụng 20 nút cụm trường đại học của tôi. Mất khoảng 3 phút để trải qua khá tâm thần. Cho phép bẻ khóa tất cả mật khẩu windows <= 16 ký tự.
Mark Davidson

2
Theo wikipedia, băm LM không có muối. Mật khẩu MD5 có một muối, có nghĩa là bất kỳ mật khẩu đơn lẻ nào cũng có thể có băm (mật khẩu không gian * mật khẩu), nghĩa là bạn cần phải có 1 bảng cầu vồng cho mỗi muối.
chris

2

Hãy xem xét rằng một mật khẩu tám ký tự có thể được ghi nhớ. Mật khẩu gồm 20 ký tự sẽ được ghi lại.

Và sau đó ai đó có thể đọc nó.


Bạn đúng. Và cũng có thể có nhiều yếu tố khác sẽ ảnh hưởng đến loại bảo mật cho các tệp được mã hóa.
cmserv

Một mật khẩu rất dài có thể không nhất thiết phải được ghi lại nếu đó là một bộ gồm 5 từ tiếng Anh / ngôn ngữ thông thường của bạn. Não bộ rất giỏi trong việc ghi nhớ chúng và có rất nhiều trong số chúng ở ngoài đó.
chris

1
Nói cho bộ não của riêng bạn. Của tôi tắt ngay khi nghĩ đến việc nhớ 20 ký tự.
John Saunders

Nếu mật khẩu của bạn là "ruột xuyên hầm ngục siêu hình bị đình trệ" thì có lẽ bạn có thể nhớ nó sau khi sử dụng một vài lần.
chris

Không. Không có mối quan hệ giữa các từ. Không có câu chuyện nào để nói với bản thân mình rằng tôi nhớ nói với chính mình vào lần tới khi tôi cần mật khẩu. Tôi sử dụng chương trình tạo mật khẩu để tạo mật khẩu ngẫu nhiên (tôi sử dụng ít nhất tám ký tự mọi lúc). Tôi tiếp tục tạo cho đến khi tôi thấy một mật khẩu mà tôi có thể tạo thành một từ mà tôi có thể nhớ, như "cinnademo" = "quế" + "trình diễn". Điều đó , tôi có thể xử lý.
John Saunders

2

Bạn có thể quan tâm đến bài viết " Mật khẩu và mật khẩu ". Kết luận của họ là mật khẩu hoàn toàn ngẫu nhiên gồm 9 ký tự tương đương với cụm từ vượt qua 6 từ. Nhưng họ cảm thấy một cụm từ 6 từ sẽ dễ nhớ hơn.


1

Tất cả phụ thuộc vào các ký tự bạn sử dụng, vì điều này thay đổi số lượng kết hợp bạn có. Giả sử 8 ký tự:

  • Từ điển

    egrep "^. {8} $" / usr / share / dict / words | wc -l
    15601
  • Chữ thường: 26 8 hoặc 208827064576

  • Chữ thường và chữ in hoa: 52 8 hoặc 53459728531456

  • Thấp hơn, trên và số: 62 8 hoặc 218340105584896

Thêm dấu câu và các biểu tượng khác và vũ lực sẽ mất một thời gian.

Những con số này là tổng số kết hợp sẽ phải được thử. Rõ ràng, một hacker sẽ không thử mọi kết hợp sau khi họ có mật khẩu, vì vậy hãy chia cho hai để có được số lượng kết hợp trung bình cần thiết.

Băm khó hơn dẫn đến thời gian cpu dài hơn để tính băm, do đó tổng thời gian dài hơn. Một ví dụ từ john:

Điểm chuẩn: DES truyền thống [64/64 BS] ... XONG
Nhiều muối: 819187 c / s thật, 828901 c / s ảo
Chỉ một muối: 874717 c / s thật, 877462 c / s ảo

Điểm chuẩn: BSDI DES (x725) [64/64 BS] ... XONG
Nhiều muối: 29986 c / s thật, ảo 30581 c / s
Chỉ một muối: 29952 c / s thật, 30055 c / s ảo

Điểm chuẩn: FreeBSD MD5 [32/64 X2] ... XONG
Nguyên: 8761 c / s thực, 8796 c / s ảo

Điểm chuẩn: OpenBSD Blowfish (x32) [32/64] ... XONG
Nguyên: 354 c / s thật, 353 c / s ảo

Điểm chuẩn: Kerberos AFS DES [48/64 4K] ... XONG
Ngắn: 294507 c / s thực, ảo 295754 c / s
Dài: 858582 c / s thực, 863887 c / s ảo

Điểm chuẩn: NT LM DES [64/64 BS] ... XONG
Nguyên: 6379K c / s thực, ảo 6428K c / s

Điểm chuẩn: NT MD4 [Chung 1x] ... XONG
Nguyên: 7270K c / s thật, 7979K c / s ảo

Điểm chuẩn: M $ Cache Hash [Chung 1x] ... XONG
Nhiều muối: 12201K c / s thật, 12662K c / s ảo
Chỉ một muối: 4862K c / s thật, 4870K c / s ảo

Điểm chuẩn: LM C / R DES [netlm] ... XONG
Nhiều muối: 358487 c / s thật, 358487 c / s ảo
Chỉ một muối: 348363 c / s thực, 348943 c / s ảo

Điểm chuẩn: NTLMv1 C / R MD4 DES [netntlm] ... XONG
Nhiều muối: 510255 c / s thật, 512124 c / s ảo
Chỉ một muối: 488277 c / s thật, 489416 c / s ảo

Tất nhiên đây là hoàn toàn học thuật, bởi vì tin tặc sẽ gọi điện thoại cho thư ký của bạn nói với họ rằng họ đến từ CNTT và họ cần mật khẩu của họ cho một cái gì đó và mật khẩu mạnh của bạn là vô giá trị.


1

Tôi sử dụng cụm mật khẩu không tầm thường để bảo vệ

* tài sản quan trọng
* nội dung không chịu chống búa (khóa sau nhiều lần thử)
* những thứ có thể hiểu được có thể bị phơi bày trước các cuộc tấn công lai / dựa trên từ điển / bắt buộc

Tôi ít quan tâm đến tài khoản gmail của mình, vì các nỗ lực bẻ khóa mật khẩu sẽ chỉ khóa tài khoản (và bất kỳ ai có quyền truy cập vào máy chủ sẽ chỉ thay thế hàm băm bằng một trong những lựa chọn của họ, không cố gắng bẻ khóa nó).

Cụm mật khẩu tốt nhất là dài (> 12 ký tự) và mật mã ngẫu nhiên. Tuy nhiên, những điều đó khó nhớ hơn. Vì vậy, một cụm mật khẩu kết hợp nhiều từ với các ký tự dường như ngẫu nhiên có thể là một sự thỏa hiệp tốt (có lẽ là 1 hoặc 2 chữ cái đầu tiên của vài dòng đầu tiên của lời bài hát yêu thích của bạn).


0

Có bảo mật bạn nhận được từ việc liên lạc với máy khách / máy chủ, ví dụ như bạn đã nói, khi bạn có thể ngăn chặn kẻ tấn công sau 3 lần thử (khi chúng tấn công qua mạng, như với các ứng dụng web). Với kịch bản này, hầu hết mọi độ dài của mật khẩu đều có thể được lập luận là đủ.

Tuy nhiên, nếu người trong cuộc lấy cơ sở dữ liệu này bằng mật khẩu ngắn được băm và có thể bỏ qua giới hạn "qua mạng" của 3 lần thử, trò chơi sẽ thay đổi.

Hãy cẩn thận với việc giới hạn số lần thử trên mỗi tài khoản là điều này sẽ chỉ đủ cho các lần thử được nhắm mục tiêu tại một tài khoản cụ thể. Bạn cũng cần bảo vệ chống lại cuộc tấn công vào tất cả các tài khoản bằng mật khẩu đã cho (hoặc được hoán vị) - điều này sẽ không kích hoạt bất kỳ báo động nào khi bạn chỉ giới hạn số lần thử trên mỗi tài khoản. Ngày nay, NAT và botnet, bạn thậm chí không thể tranh luận rằng việc giới hạn số lần thử trên mỗi IP là một cách tốt để suy nghĩ về bảo mật.

Tài nguyên tốt để đọc đã được đưa ra trong các câu trả lời khác.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.