Αρχική σελίδα » πως να » Οι σύντομοι κωδικοί πρόσβασης είναι πραγματικά αβέβαιοι;

    Οι σύντομοι κωδικοί πρόσβασης είναι πραγματικά αβέβαιοι;


    Ξέρετε το τρυπάνι: χρησιμοποιήστε ένα μεγάλο και ποικίλο κωδικό πρόσβασης, μην χρησιμοποιείτε τον ίδιο κωδικό δύο φορές, χρησιμοποιήστε έναν διαφορετικό κωδικό πρόσβασης για κάθε ιστότοπο. Χρησιμοποιεί έναν σύντομο κωδικό που πραγματικά είναι επικίνδυνος?
    Η σημερινή συνάντηση ερωτήσεων και απαντήσεων έρχεται σε επαφή με το SuperUser - μια υποδιαίρεση του Stack Exchange, μια κοινότητα που κατευθύνεται από τους ιστότοπους ερωτήσεων & απαντήσεων.

    Το ερώτημα

    Ο αναγνώστης του SuperUser user31073 είναι περίεργος αν πρέπει πραγματικά να λάβει υπόψη τις προειδοποιήσεις σύντομου κωδικού πρόσβασης:

    Χρησιμοποιώντας συστήματα όπως το TrueCrypt, όταν πρέπει να ορίσω έναν νέο κωδικό πρόσβασης, είμαι συχνά ενημερωμένος ότι η χρήση ενός σύντομου κωδικού πρόσβασης είναι ανασφαλής και "πολύ εύκολη" για να σπάσει με βίαιη δύναμη.

    Χρησιμοποιώ πάντα κωδικούς μήκους 8 χαρακτήρων, οι οποίοι δεν βασίζονται σε λεξικές λέξεις, που αποτελείται από χαρακτήρες από το σύνολο A-Z, a-z, 0-9

    Π.χ. Χρησιμοποιώ κωδικό πρόσβασης όπως sDvE98f1

    Πόσο εύκολο είναι να σπάσει έναν τέτοιο κωδικό πρόσβασης με βίαιη δύναμη; Π.χ. πόσο γρήγορα.

    Ξέρω ότι εξαρτάται σε μεγάλο βαθμό από το υλικό, αλλά ίσως κάποιος θα μπορούσε να μου δώσει μια εκτίμηση πόσο καιρό θα χρειαζόταν για να γίνει αυτό σε ένα διπλό πυρήνα με 2GHZ ή οτιδήποτε άλλο να έχει ένα πλαίσιο αναφοράς για το υλικό.

    Για την επίθεση με βίαιη δύναμη ένας τέτοιος κωδικός πρόσβασης δεν χρειάζεται μόνο να μετακινηθείτε σε όλους τους συνδυασμούς αλλά επίσης να προσπαθήσετε να αποκρυπτογραφήσετε με κάθε εικαστικό κωδικό που χρειάζεται επίσης κάποιο χρόνο.

    Επίσης, υπάρχει κάποιο λογισμικό για να χτυπάει το hack TrueCrypt επειδή θέλω να προσπαθήσω να βγάζω βίαιη ρωγμή στον δικό μου κωδικό πρόσβασης για να δω πόσο καιρό χρειάζεται αν είναι πραγματικά "πολύ εύκολο".

    Οι κωδικοί σύντομων τυχαίων χαρακτήρων κινδυνεύουν πραγματικά?

    Η απάντηση

    Ο συνεργάτης SuperUser Josh K. υπογραμμίζει τι θα χρειαστεί ο επιτιθέμενος:

    Εάν ο επιτιθέμενος μπορεί να αποκτήσει πρόσβαση στο hash του κωδικού πρόσβασης, είναι συχνά πολύ εύκολο να βλάψει τη δύναμη, αφού συνεπάγεται απλώς τους κωδικούς εξαφάνισης έως ότου τα αντιστοίχιση των hashes.

    Η "δύναμη" κατακερματισμού εξαρτάται από τον τρόπο αποθήκευσης του κωδικού πρόσβασης. Ένας κατακερματισμός MD5 μπορεί να πάρει λιγότερο χρόνο για να δημιουργήσει ένα SHA-512 hash.

    Τα Windows χρησιμοποιούσαν (και ίσως ακόμα, δεν γνωρίζω) τους κωδικούς πρόσβασης σε μορφή LM hash, ο οποίος υπερέβη τον κωδικό πρόσβασης και τον χώρισε σε δύο κομμάτια 7 χαρακτήρων τα οποία είχαν χτυπηθεί στη συνέχεια. Αν είχατε κωδικό πρόσβασης 15 χαρακτήρων, δεν θα πειράξει γιατί αποθηκεύει μόνο τους πρώτους 14 χαρακτήρες και ήταν εύκολο να βλάψει τη δύναμη επειδή δεν ήσασταν βίαιοι που πιέζονταν έναν κωδικό 14 χαρακτήρων, ήσασταν βίαιοι που ανάγκασαν δύο κωδικούς 7 χαρακτήρων.

    Εάν αισθάνεστε την ανάγκη, κατεβάστε ένα πρόγραμμα όπως το John The Ripper ή το Cain & Abel (σύνδεσμοι παρακρατημένοι) και δοκιμάστε το.

    Θυμάμαι ότι μπορούσα να δημιουργήσω 200.000 hashes ένα δευτερόλεπτο για ένα hash LM. Ανάλογα με τον τρόπο με τον οποίο το Truecrypt αποθηκεύει τον κατακερματισμό και εάν μπορεί να ανακτηθεί από κλειδωμένο τόμο, θα μπορούσε να πάρει περισσότερο ή λιγότερο χρόνο.

    Οι επιθέσεις βίαιης δύναμης χρησιμοποιούνται συχνά όταν ο εισβολέας έχει μεγάλο αριθμό χασίς για να περάσει. Μετά από την εκτέλεση ενός κοινού λεξικού θα αρχίσουν συχνά να ξεχυθούν οι κωδικοί πρόσβασης με κοινές βίαιες επιθέσεις δυνάμεων. Αριθμημένοι κωδικοί πρόσβασης έως δέκα, εκτεταμένα άλφα και αριθμητικά, αλφαριθμητικά και κοινά σύμβολα, αλφαριθμητικά και εκτεταμένα σύμβολα. Ανάλογα με το στόχο της επίθεσης μπορεί να οδηγήσει με διαφορετικά ποσοστά επιτυχίας. Η προσπάθεια να υπονομευθεί η ασφάλεια ενός λογαριασμού ειδικότερα συχνά δεν είναι ο στόχος.

    Ένας άλλος συνεισφέρων, ο Phoshi επεκτείνεται στην ιδέα:

    Το Brute-Force δεν είναι βιώσιμη επίθεση, σχεδόν πάντα. Εάν ο επιτιθέμενος δεν γνωρίζει τίποτα για τον κωδικό πρόσβασής σας, δεν το παίρνει μέσα από τη βίαιη δύναμη αυτή την πλευρά του 2020. Αυτό μπορεί να αλλάξει στο μέλλον, καθώς η εξέλιξη του υλικού (Για παράδειγμα, θα μπορούσαμε να χρησιμοποιήσουμε όλα αυτά - πολλά - τώρα πυρήνες σε i7, επιταχύνοντας μαζικά τη διαδικασία (ακόμα χρόνια μιλάμε, αν και)

    Εάν θέλετε να είστε πολύ ασφαλείς, τοποθετήστε ένα σύμβολο extended ascii (Hold alt, χρησιμοποιήστε το numpad για να πληκτρολογήσετε έναν αριθμό μεγαλύτερο από 255). Κάτι τέτοιο βεβαιώνει ότι μια απλή βίαιη δύναμη είναι άχρηστη.

    Θα πρέπει να ανησυχείτε για πιθανές ατέλειες στον αλγόριθμο κρυπτογράφησης του truecrypt, ο οποίος θα μπορούσε να καταστήσει πολύ πιο εύκολο τον εντοπισμό ενός κωδικού πρόσβασης και φυσικά ο πιο πολύπλοκος κωδικός πρόσβασης στον κόσμο είναι άχρηστος εάν το μηχάνημα που το χρησιμοποιείτε είναι συμβιβασμένο.

    Θα σχολιάζαμε την απάντηση του Phoshi για να διαβάσετε: "Η Brute-force δεν είναι μια βιώσιμη επίθεση, όταν χρησιμοποιεί κρυπτογράφηση προηγμένης γενιάς, σχεδόν πάντα".

    Όπως υπογραμμίσαμε στο πρόσφατο άρθρο μας, το Brute-Force Attacks εξηγείται: πώς όλα τα κρυπτογράφησης είναι ευάλωτα, τα συστήματα κρυπτογράφησης ηλικία και την ισχύ του υλικού αυξάνεται έτσι είναι μόνο θέμα χρόνου πριν από ό, τι ήταν σκληρός στόχος (όπως ο αλγόριθμος κρυπτογράφησης NTLM της Microsoft) είναι αποτυχημένος σε λίγες ώρες.

    Έχετε κάτι να προσθέσετε στην εξήγηση; Απενεργοποιήστε τα σχόλια. Θέλετε να διαβάσετε περισσότερες απαντήσεις από άλλους τεχνολογικούς χρήστες Stack Exchange; Δείτε το πλήρες νήμα συζήτησης εδώ.

    Υπάρχουν οφέλη από την σύνδεση του ποντικιού σας σε θύρα USB 3.0;
    Υπάρχουν κίνδυνοι για τη χρήση Y-καλωδίων με περιφερειακές συσκευές USB;
    Οι ανταμοιβές παιχνιδιών zSilver της Razer αξίζει τον κόπο;
    Επόμενο άρθρο
    Τα Smart Locks είναι ασφαλή;
    Προηγούμενο άρθρο
    Είναι έτοιμοι ιστοτόποι που σκοτώνουν το Web Design;