Gần đây tôi đã nhận được một đề nghị cho việc đặt mật khẩu của mình lên trên 20 ký tự. Thuật toán được sử dụng để mã hóa là AES với khóa chính 256 bit. Làm thế nào an toàn là, giả sử, 8 mật khẩu char chống lại các cuộc tấn công vũ phu để giải mã các tập tin được mã hóa?
Tôi biết rằng đây được coi là một kích thước mật khẩu tốt trên hầu hết các trang web. Một lý do của việc này là họ có thể dừng một cuộc tấn công sau 3 lần hoặc lâu hơn.
Câu trả lời:
Đây là một bài viết thú vị http://www.lockdown.co.uk/ ?
Bạn có thể muốn chỉ ra bất cứ ai đã viết chính sách đó tại bài đăng trên blog này từ Bruce Schneier .
Đó là một bài viết tốt về lý do tại sao sức mạnh của mật khẩu là vấn đề ít nhất của bất kỳ ai trên web.
Nhìn vào câu trả lời được chấp nhận trong bài này . Cho thấy ngay cả mật khẩu 8 ký tự sử dụng toàn bộ các ký tự có thể mất ~ 10.000 năm để bẻ khóa!
Nếu bạn tính việc sử dụng các bảng cầu vồng là lực lượng vũ phu (ý kiến khác nhau) thì trong 8 ký tự, sử dụng các bảng cầu vồng bao gồm tất cả các ký tự trong mật khẩu, khoảng 10 giây. Mật khẩu 20 ký tự (cùng ký tự, cùng bảng cầu vồng), dưới 30 giây. Điều hấp dẫn là phải mất nhiều thời gian để tạo các bảng. Tôi mất khoảng một tháng để tạo ra máy xử lý 3GHz chỉ vào ban đêm. Mặt khác, bạn chỉ cần làm điều đó một lần.
Vấn đề cố gắng nhớ mật khẩu dài dễ dàng được giải quyết bằng cách kết hợp thay thế ký tự và sử dụng một cụm từ. Ngay cả một thứ đơn giản như "# Fr3ddy M3rcury #" cũng đủ phức tạp cho hầu hết các mục đích sử dụng, nhưng lại rất dễ nhớ.
Hãy xem xét rằng một mật khẩu tám ký tự có thể được ghi nhớ. Mật khẩu gồm 20 ký tự sẽ được ghi lại.
Và sau đó ai đó có thể đọc nó.
Bạn có thể quan tâm đến bài viết " Mật khẩu và mật khẩu ". Kết luận của họ là mật khẩu hoàn toàn ngẫu nhiên gồm 9 ký tự tương đương với cụm từ vượt qua 6 từ. Nhưng họ cảm thấy một cụm từ 6 từ sẽ dễ nhớ hơn.
Tất cả phụ thuộc vào các ký tự bạn sử dụng, vì điều này thay đổi số lượng kết hợp bạn có. Giả sử 8 ký tự:
Từ điển
egrep "^. {8} $" / usr / share / dict / words | wc -l
15601Chữ thường: 26 8 hoặc 208827064576
Chữ thường và chữ in hoa: 52 8 hoặc 53459728531456
Thấp hơn, trên và số: 62 8 hoặc 218340105584896
Thêm dấu câu và các biểu tượng khác và vũ lực sẽ mất một thời gian.
Những con số này là tổng số kết hợp sẽ phải được thử. Rõ ràng, một hacker sẽ không thử mọi kết hợp sau khi họ có mật khẩu, vì vậy hãy chia cho hai để có được số lượng kết hợp trung bình cần thiết.
Băm khó hơn dẫn đến thời gian cpu dài hơn để tính băm, do đó tổng thời gian dài hơn. Một ví dụ từ john:
Điểm chuẩn: DES truyền thống [64/64 BS] ... XONG Nhiều muối: 819187 c / s thật, 828901 c / s ảo Chỉ một muối: 874717 c / s thật, 877462 c / s ảo Điểm chuẩn: BSDI DES (x725) [64/64 BS] ... XONG Nhiều muối: 29986 c / s thật, ảo 30581 c / s Chỉ một muối: 29952 c / s thật, 30055 c / s ảo Điểm chuẩn: FreeBSD MD5 [32/64 X2] ... XONG Nguyên: 8761 c / s thực, 8796 c / s ảo Điểm chuẩn: OpenBSD Blowfish (x32) [32/64] ... XONG Nguyên: 354 c / s thật, 353 c / s ảo Điểm chuẩn: Kerberos AFS DES [48/64 4K] ... XONG Ngắn: 294507 c / s thực, ảo 295754 c / s Dài: 858582 c / s thực, 863887 c / s ảo Điểm chuẩn: NT LM DES [64/64 BS] ... XONG Nguyên: 6379K c / s thực, ảo 6428K c / s Điểm chuẩn: NT MD4 [Chung 1x] ... XONG Nguyên: 7270K c / s thật, 7979K c / s ảo Điểm chuẩn: M $ Cache Hash [Chung 1x] ... XONG Nhiều muối: 12201K c / s thật, 12662K c / s ảo Chỉ một muối: 4862K c / s thật, 4870K c / s ảo Điểm chuẩn: LM C / R DES [netlm] ... XONG Nhiều muối: 358487 c / s thật, 358487 c / s ảo Chỉ một muối: 348363 c / s thực, 348943 c / s ảo Điểm chuẩn: NTLMv1 C / R MD4 DES [netntlm] ... XONG Nhiều muối: 510255 c / s thật, 512124 c / s ảo Chỉ một muối: 488277 c / s thật, 489416 c / s ảo
Tất nhiên đây là hoàn toàn học thuật, bởi vì tin tặc sẽ gọi điện thoại cho thư ký của bạn nói với họ rằng họ đến từ CNTT và họ cần mật khẩu của họ cho một cái gì đó và mật khẩu mạnh của bạn là vô giá trị.
Tôi sử dụng cụm mật khẩu không tầm thường để bảo vệ
* tài sản quan trọng * nội dung không chịu chống búa (khóa sau nhiều lần thử) * những thứ có thể hiểu được có thể bị phơi bày trước các cuộc tấn công lai / dựa trên từ điển / bắt buộc
Tôi ít quan tâm đến tài khoản gmail của mình, vì các nỗ lực bẻ khóa mật khẩu sẽ chỉ khóa tài khoản (và bất kỳ ai có quyền truy cập vào máy chủ sẽ chỉ thay thế hàm băm bằng một trong những lựa chọn của họ, không cố gắng bẻ khóa nó).
Cụm mật khẩu tốt nhất là dài (> 12 ký tự) và mật mã ngẫu nhiên. Tuy nhiên, những điều đó khó nhớ hơn. Vì vậy, một cụm mật khẩu kết hợp nhiều từ với các ký tự dường như ngẫu nhiên có thể là một sự thỏa hiệp tốt (có lẽ là 1 hoặc 2 chữ cái đầu tiên của vài dòng đầu tiên của lời bài hát yêu thích của bạn).
Có bảo mật bạn nhận được từ việc liên lạc với máy khách / máy chủ, ví dụ như bạn đã nói, khi bạn có thể ngăn chặn kẻ tấn công sau 3 lần thử (khi chúng tấn công qua mạng, như với các ứng dụng web). Với kịch bản này, hầu hết mọi độ dài của mật khẩu đều có thể được lập luận là đủ.
Tuy nhiên, nếu người trong cuộc lấy cơ sở dữ liệu này bằng mật khẩu ngắn được băm và có thể bỏ qua giới hạn "qua mạng" của 3 lần thử, trò chơi sẽ thay đổi.
Hãy cẩn thận với việc giới hạn số lần thử trên mỗi tài khoản là điều này sẽ chỉ đủ cho các lần thử được nhắm mục tiêu tại một tài khoản cụ thể. Bạn cũng cần bảo vệ chống lại cuộc tấn công vào tất cả các tài khoản bằng mật khẩu đã cho (hoặc được hoán vị) - điều này sẽ không kích hoạt bất kỳ báo động nào khi bạn chỉ giới hạn số lần thử trên mỗi tài khoản. Ngày nay, NAT và botnet, bạn thậm chí không thể tranh luận rằng việc giới hạn số lần thử trên mỗi IP là một cách tốt để suy nghĩ về bảo mật.
Tài nguyên tốt để đọc đã được đưa ra trong các câu trả lời khác.