Пытанне

Чытача SuperUser user31073 цікава, ці варта яму сапраўды прыслухоўвацца да гэтых папярэджанняў:

Карыстаючыся такімі сістэмамі, як TrueCrypt, калі мне трэба вызначыць новы пароль, мне часта паведамляюць, што выкарыстанне кароткага пароля небяспечна і "вельмі лёгка" зламаць грубую сілу. Я заўсёды выкарыстоўваю паролі даўжынёй 8 знакаў, якія не заснаваны на слоўніку слоў, які складаецца з знакаў з мноства AZ, az, 0-9, то ёсць я выкарыстоўваю пароль, як sDvE98f1. Як лёгка ўзламаць такі пароль ад brute- сіла? То бок, як хутка. Я ведаю, што гэта ў значнай ступені залежыць ад абсталявання, але, магчыма, хтосьці можа даць мне ацэнку, колькі часу спатрэбіцца для гэтага на двух'ядравым ядры з 2GHZ альбо што б там не было для тэхнічнага кантролю. Каб напасці на такі жорсткі пароль, трэба не толькі перабраць усе камбінацыі, але і паспрабаваць расшыфраваць кожны здагаданы пароль, які таксама патрабуе пэўнага часу. Акрамя таго, ці ёсць праграма для ўзлому ўзрушанага TrueCrypt, таму што я хачу паспрабаваць узламаць свой уласны пароль, каб даведацца, колькі часу спатрэбіцца, калі гэта сапраўды так "вельмі проста".

Ці сапраўды рызыкуюцца кароткія паролі выпадковых знакаў?

Адказ

Супрацоўнік SuperUser Джош К. падкрэслівае, што зламысніку спатрэбіцца:

Калі зламыснік можа атрымаць доступ да хэшавання пароля, гэта часта вельмі проста, таму што ён проста цягне хэшаванне пароляў, пакуль хэш не супадае. "Сіла" хэша залежыць ад таго, як захоўваецца пароль. MD5-хэш можа заняць менш часу для стварэння хэша SHA-512. Windows раней (а можа і дагэтуль, я не ведаю) захоўваў паролі ў фармаце LM хэша, які вялікі рэгістр пароля і падзяліў яго на два кавалкі 7 сімвалаў, якія былі хэшаваны. Калі ў вас быў 15-знакавы пароль, гэта не мела значэння, паколькі ён захоўваў толькі першыя 14 знакаў, і гэта было проста жорстка, таму што вы не былі грубым прымусам пароля з 14 знакамі, вы груба прымушалі два 7-знакавыя паролі. Калі вы адчуваеце патрэбу, запампуйце такую ​​праграму, як John The Ripper або Cain & Abel (спасылкі ўтрыманыя) і пратэстуйце яе. Я памятаю, магла стварыць 200 000 хэшаў у секунду для LM хэша. У залежнасці ад таго, як Truecrypt захоўвае хэш, і калі яго можна атрымаць з заблакаванага аб'ёму, гэта можа заняць больш-менш часу. Атакі грубай сілы часта выкарыстоўваюцца, калі ў зламысніка ёсць вялікая колькасць хэшаў. Пасля запуску агульнага слоўніка яны часта пачнуць праполку пароляў пры звычайных нападах грубай сілы. Пранумаваныя паролі да дзесяці, пашыраныя альфа-лічбавыя, алфавітна-звычайныя сімвалы, алфавітна-лічбавыя і пашыраныя сімвалы. У залежнасці ад мэты нападу яна можа прывесці з рознымі поспехамі. Спроба парушыць бяспеку аднаго ўліковага запісу, часта, не з'яўляецца мэтай.

Яшчэ адзін удзельнік, Phoshi, пашырае ідэю:

Brute-Force не з'яўляецца жыццяздольнай атакай, амаль усе. Калі зламыснік нічога не ведае пра ваш пароль, ён не атрымлівае яго з дапамогай грубай сілы з гэтага боку 2020 года. Гэта можа змяніцца ў будучыні па меры прасоўвання апаратнага забеспячэння (напрыклад, можна выкарыстаць усе, аднак-шмат-гэта-мае- зараз ядра на i7, масава паскараючы працэс (праўда, усё ж гадамі гавораць)) Калі вы хочаце быць -super- бяспечным, устаўце ў яго сімвал пашыранага ascii (Утрымлівайце alt, выкарыстоўвайце numpad для ўводу колькасці большага памеру чым 255). Гэта практычна гарантуе, што звычайная грубая сіла бескарысная. Вы павінны быць занепакоены патэнцыйнымі недахопамі ў алгарытме шыфравання truecrypt, якія маглі б значна палегчыць пошук пароля, і, вядома, самы складаны пароль у свеце бескарысны, калі машына, на якой вы яго выкарыстоўваеце, парушана.

Мы хацелі б заўважыць адказ Фошы, каб прачытаць "грубая сіла не з'яўляецца жыццяздольнай атакай пры выкарыстанні складанага шыфравання цяперашняга пакалення, амаль ніколі".

Як мы падкрэслілі ў нашай нядаўняй артыкуле, Brute-Force Attacks патлумачыў: наколькі ўсе шыфраванні ўразлівыя, узрост схем шыфравання павялічваецца і ўзмацняецца магутнасць апаратнага забеспячэння, таму гэта толькі пытанне часу да таго, што раней было жорсткай мэтай (напрыклад, алгарытм шыфравання пароляў NTLM ад Microsoft) паддаецца зносу за лічаныя гадзіны.

Ёсць што дадаць да тлумачэння? Гучаць у каментарах. Хочаце прачытаць дадатковыя адказы ад іншых карыстальнікаў Stack Exchange, якія валодаюць тэхналогіямі? Праверце поўную тэму абмеркавання тут.