Làm thế nào không an toàn là mật khẩu ngắn của tôi thực sự?


17

Sử dụng các hệ thống như TrueCrypt, khi tôi phải xác định mật khẩu mới, tôi thường được thông báo rằng sử dụng mật khẩu ngắn là không an toàn và "rất dễ" bị phá vỡ bởi sức mạnh vũ phu.

Tôi luôn sử dụng mật khẩu có độ dài 8 ký tự, không dựa trên các từ trong từ điển, bao gồm các ký tự từ bộ AZ, az, 0-9

Tức là tôi sử dụng mật khẩu như sDvE98f1

Làm thế nào dễ dàng để bẻ khóa một mật khẩu như vậy bằng vũ lực? Tức là nhanh như thế nào.

Tôi biết nó phụ thuộc rất nhiều vào phần cứng nhưng có lẽ ai đó có thể ước tính cho tôi mất bao lâu để thực hiện việc này trên lõi kép với 2GHZ hoặc bất cứ điều gì để có khung tham chiếu cho phần cứng.

Để briute-force tấn công một mật khẩu như vậy, người ta không chỉ cần phải xoay vòng qua tất cả các kết hợp mà còn cố gắng giải mã với mỗi mật khẩu đã đoán mà cũng cần một thời gian.

Ngoài ra, có một số phần mềm để tấn công hack truecrypt vì tôi muốn thử dùng vũ lực bẻ khóa mật khẩu của chính mình để xem phải mất bao lâu nếu nó thực sự "rất dễ dàng".


10
Bây giờ bạn đã nói với chúng tôi mật khẩu của bạn luôn có 8 ký tự và không phải từ trong từ điển, bạn đã làm cho nó dễ dàng hơn nhiều ;-)
Josh

Chỉ trích!
Đáng

Nếu bạn thực sự lo lắng về mật khẩu, hãy thử KeePass . Quản lý mật khẩu của tôi đã đạt đến mức quan trọng, sau đó KeePass đã thay đổi cuộc đời tôi. Bây giờ tôi chỉ phải nhớ 2 mật khẩu, một để đăng nhập vào máy tính của tôi và một để đăng nhập vào cơ sở dữ liệu KeePass của tôi. Tất cả mật khẩu của tôi (và hầu hết tên người dùng của tôi) hiện là duy nhất và cực kỳ phức tạp và việc sử dụng kết hợp tên người dùng / mật khẩu dễ dàng như CTRL+ ALT+ Anếu tôi đăng nhập vào KeePass.
ubiquibacon

Câu trả lời:


11

Nếu kẻ tấn công có thể có quyền truy cập vào hàm băm mật khẩu, nó thường rất dễ bị vũ trang vì nó chỉ đơn giản là đòi hỏi phải băm mật khẩu cho đến khi băm khớp.

"Sức mạnh" băm phụ thuộc vào cách lưu trữ mật khẩu. Băm MD5 có thể mất ít thời gian hơn để tạo ra băm SHA-512.

Windows đã từng (và có thể, tôi vẫn không biết) lưu trữ mật khẩu ở định dạng băm LM, nó đã vượt quá mật khẩu và chia thành hai phần 7 ký tự sau đó được băm. Nếu bạn có mật khẩu 15 ký tự thì sẽ không thành vấn đề vì nó chỉ lưu trữ 14 ký tự đầu tiên và rất dễ bị ép buộc vì bạn không bắt buộc phải nhập mật khẩu 14 ký tự, bạn đã buộc phải sử dụng hai mật khẩu 7 ký tự.

Nếu bạn cảm thấy cần thiết, hãy tải xuống một chương trình như John The Ripper hoặc Cain & Abel (liên kết bị giữ lại) và kiểm tra nó.

Tôi nhớ rằng có thể tạo ra 200.000 băm một giây cho hàm băm LM. Tùy thuộc vào cách Truecrypt lưu trữ hàm băm và nếu nó có thể được truy xuất từ ​​một khối bị khóa, nó có thể mất nhiều thời gian hơn hoặc ít hơn.

Các cuộc tấn công vũ phu thường được sử dụng khi kẻ tấn công có một số lượng lớn các băm phải trải qua. Sau khi chạy qua một từ điển thông thường, họ sẽ thường bắt đầu loại bỏ mật khẩu bằng các cuộc tấn công vũ phu thông thường. Mật khẩu được đánh số lên đến mười, mở rộng alpha và số, ký tự chữ và số, ký hiệu chữ và số mở rộng. Tùy thuộc vào mục tiêu của cuộc tấn công, nó có thể dẫn đầu với tỷ lệ thành công khác nhau. Cố gắng thỏa hiệp bảo mật của một tài khoản nói riêng thường không phải là mục tiêu.


Cảm ơn câu trả lời này. Tôi nên đã đề cập rằng tôi thường sử dụng RIPEMD-160 cho hàm băm. Và đối với mật khẩu, với cách tôi tạo nó như được mô tả ở trên, đó là mật khẩu có thể 218340105584896 (26 + 26 + 10) ^ 8 (nhưng kẻ tấn công không biết điều đó). Vì vậy, tôi chỉ tự hỏi liệu mật khẩu như vậy có an toàn trước các cuộc tấn công vũ phu trong lý do không (tôi không nói về keylogger, cryotricks hoặc mật mã ống cao su, chỉ liên quan đến việc đoán mật khẩu của vũ phu). Và tôi chủ yếu sử dụng TrueCrypt.
31073

Chỉ cần làm rõ, bạn đã trả lời câu hỏi của tôi, dựa trên 200.000 cho 218340105584896 kết hợp trên 1 nút, sẽ mất ~ 36 năm, với điều kiện kẻ tấn công biết được độ dài mật khẩu. Đây cũng là những gì máy tính trực tuyến mang lại cho tôi. Cảm ơn!
31073

Nếu họ có thể có được hàm băm thì có thể thực hiện một cuộc tấn công vũ phu. Việc họ có thành công hay không phụ thuộc rất nhiều vào số lượng họ biết về mật khẩu và thời gian họ có. Trả lời cập nhật.
Josh K

3
Hãy nhớ rằng 36 năm sẽ nhanh chóng nếu bạn tính toán trước giá trị băm bằng cách sử dụng mạng phân tán. Nếu bạn sử dụng 1000 máy tính, thì đó là con số có thể quản lý được.
Bradshaw giàu

1
Cũng tốt để nhắc nhở rằng bằng cách tăng độ dài mật khẩu, độ khó tăng lên rất nhiều. Nếu 8 mật khẩu char mất 36 năm, bằng cách nhân đôi độ dài lên 16 ký tự thì thời gian không tăng gấp đôi, nhưng thay vào đó lại nhảy lên tới 7663387620052652 năm. :)
Ilari Kajaste

4

Brute-Force không phải là một cuộc tấn công khả thi , khá nhiều từ trước đến nay. Nếu kẻ tấn công không biết gì về mật khẩu của bạn, anh ta sẽ không nhận được nó thông qua vũ lực bên này vào năm 2020. Điều này có thể thay đổi trong tương lai, vì phần cứng tiến bộ (Ví dụ: người ta có thể sử dụng tất cả những gì nó có bây giờ lõi trên một i7, tăng tốc quá trình (mặc dù vẫn nói nhiều năm)

Nếu bạn muốn được bảo mật - an toàn, hãy gắn biểu tượng ascii mở rộng ở đó (Giữ alt, sử dụng numpad để nhập số lớn hơn 255). Làm điều đó khá nhiều đảm bảo rằng một vũ phu đơn giản là vô dụng.

Bạn nên lo lắng về các lỗ hổng tiềm năng trong thuật toán mã hóa của truecrypt, điều này có thể giúp việc tìm mật khẩu dễ dàng hơn nhiều và tất nhiên, mật khẩu phức tạp nhất trên thế giới là vô dụng nếu máy bạn đang sử dụng bị xâm nhập.


Mặc dù sự thật là các cuộc tấn công vũ phu hiếm khi thành công với một mục tiêu duy nhất, nhưng nếu tôi kết xuất cơ sở dữ liệu người dùng cho một trang web sử dụng MD5 để băm mật khẩu, tôi có thể dễ dàng tải chúng lên và chạy một lực lượng vũ trang chống lại giới hạn đó 6 ký tự, alpha +, số và ký hiệu. Tôi sẽ không thành công 100%, nhưng tôi sẽ có thể thỏa hiệp một số lượng lớn các tài khoản.
Josh K

Nếu muối là tĩnh, chắc chắn. Nó không nên Và đó cũng không thực sự là vũ phu, nó chỉ đang tìm kiếm trên một chiếc bàn cầu vồng được tính toán trước. Có một lý do chúng tôi muối băm của chúng tôi;)
Phoshi

Có bao nhiêu trang web muối băm? Không phải là một bảng cầu vồng chỉ đơn giản là một cuộc tấn công vũ phu được nén vào một tập tin? ;) Quan điểm của tôi là nếu bạn có 1000 người dùng có mật khẩu, một số trong số họ nhất định sẽ có mật khẩu như thế nào 12blue.
Josh K

Nếu một trang web không muối băm của họ, họ đã làm sai. Một bảng cầu vồng chỉ là mỗi giá trị có thể, vì vậy sắp xếp giống như một lực lượng vũ phu được tính toán trước, đúng. | l2bluevẫn không nên tàn bạo với một loại muối tốt, và vẫn cần một thời gian dài để vượt qua điều đó. (2176782336 có thể kết hợp, giả sử kẻ tấn công biết đó là a-z0-9)
Phoshi

1
Đó là một ý tưởng tồi để sử dụng các biểu tượng ascii mở rộng, trừ khi bạn khá chắc chắn rằng nó sẽ được cơ sở dữ liệu chấp nhận. Thường xuyên hơn không, tôi đã bị hỏng mật khẩu và hệ thống không thể khớp với mật khẩu tôi nhập khi đăng nhập, ngay cả khi nó giống hệt nhau. Điều này xảy ra bởi vì unicode vẫn không phải là một tiêu chuẩn phổ biến và mã hóa văn bản được xử lý kém ở hầu hết các nơi.
cregox

2

Bạn có thể sử dụng công cụ trực tuyến này để ước tính http://lastbit.com/pswcalc.asp


Làm thế nào chính xác là trang web đó?
Josh

1
@Josh; Có vẻ như nó chỉ thực hiện các phép toán, vì vậy hoàn toàn chính xác với một mật khẩu / giá trị thứ hai chính xác.
Phoshi

Bất cứ ý tưởng tại sao howsecureismypassword.net nói rằng chỉ mất 10 ngày để phá mật khẩu này?
sgmoore

1

EDIT: Những người khác đã đưa ra câu trả lời tốt cho phần câu hỏi của bạn về "Làm thế nào dễ dàng để bẻ khóa mật khẩu như vậy bằng vũ lực? Tức là nhanh như thế nào"

Để giải quyết phần này của câu hỏi của bạn:

Ngoài ra, có một số phần mềm để tấn công hack truecrypt vì tôi muốn thử dùng vũ lực bẻ khóa mật khẩu của chính mình để xem phải mất bao lâu nếu nó thực sự "rất dễ dàng".

Dưới đây là một loạt các tùy chọn cho Truecrypt tàn bạo

Đây là một cái khác từ Đại học Princeton.


Điều này không trả lời câu hỏi của anh ấy về mức độ an toàn của mật khẩu ngắn của anh ấy, và thay vào đó đưa ra nhiều cuộc tấn công khác trên nền tảng Truecrypt.
Josh K

@Josh K: Không, nó trả lời câu hỏi của anh ấy, "Ngoài ra, có một số phần mềm để bẻ khóa hack trecrypt vì tôi muốn thử dùng vũ lực bẻ khóa mật khẩu của chính mình để xem nó mất bao lâu nếu nó thực sự 'rất dễ dàng'."
Josh

1
@ Bây giờ, đừng đánh nhau! Cả hai bạn thực sự là cùng một người, phải không?
cregox

Không, thực ra chúng tôi không.
Josh K

0

Mật khẩu:

Đây là một mật khẩu đơn giản, nhưng dài.

rất nhiều khả năng kháng brute force, bao gồm cả từ điển tấn công dựa, hơn:

sDvE98f1

Vì vậy, sử dụng một mật khẩu ngắn nhưng khó khăn chỉ là phản tác dụng. Nó khó nhớ hơn và kém an toàn hơn.

Sử dụng một cụm từ đơn giản nhưng dài.


nguồn nào?
hyperslug

@hyper: môn toán cấp ba đơn giản?
Thomas Bonini

1
Randall có một hình dung hữu ích về độ dài so với độ phức tạp: xkcd.com/936
Charles Lindsay

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.