Чи є короткі паролі дійсно небезпечними?

Ви знаєте тренування: використовуйте довгий і різноманітний пароль, не використовуйте один і той же пароль двічі, використовуйте інший пароль для кожного сайту. Чи дійсно небезпечно використовувати короткий пароль?
Сьогоднішня сесія запитань та відповідей приходить до нас люб'язно SuperUser - підрозділ Stack Exchange, групування веб-сайтів із запитаннями та відповідями на рівні спільноти..

Питання

Користувач SuperUser user31073 цікавить, чи дійсно він повинен прислухатися до попереджень про короткий пароль:

Використовуючи системи, такі як TrueCrypt, коли мені потрібно визначити новий пароль, мені часто повідомляють, що використання короткого пароля є небезпечним і "дуже легким" для розриву за допомогою грубої дії.

Я завжди використовую паролі довжиною 8 символів, які не базуються на словарних словах, які складаються з символів з набору A-Z, a-z, 0-9

Тобто. Я використовую пароль, як sDvE98f1

Як легко зламати такий пароль грубою силою? Тобто. як швидко.

Я знаю, що він сильно залежить від апаратних засобів, але, можливо, хтось міг би дати мені оцінку, скільки часу знадобиться, щоб зробити це на двоядерний з 2GHZ або що-небудь, щоб мати систему відліку для апаратних засобів.

Щоб атакувати такий пароль, потрібно не тільки перемикати всі комбінації, але й намагатися розшифрувати кожен вгаданий пароль, який також потребує деякого часу.

Крім того, чи існує деяке програмне забезпечення для грубої обробки TrueCrypt, тому що я хочу спробувати скористатися власним паролем, щоб побачити, скільки часу потрібно, якщо це дійсно так "дуже просто".

Є короткі випадкові паролі дійсно під загрозою?

Відповідь

Співробітник SuperUser Джош К. висвітлює, що зловмисник потребує:

Якщо зловмисник може отримати доступ до хеша паролів, часто дуже легко перебирати грубу силу, оскільки він просто тягне за собою хешування паролів, доки хеш не збігається.

Хеш «сила» залежить від того, як зберігається пароль. Хеш MD5 може зайняти менше часу, щоб генерувати хеш SHA-512.

Windows використовувала для зберігання паролів у хеш-форматі LM, який, можливо, не знаю, запам'ятовує пароль і розділяє його на два шматки 7 символів, які потім хешировались. Якщо ви мали пароль з 15 символів, це не мало значення, оскільки воно зберігало лише перші 14 символів, і було легко перебирати грубу силу, тому що ви не були грубим паролем з 14 символів..

Якщо ви відчуваєте необхідність, завантажте такі програми, як John The Ripper або Cain & Abel (посилання залишені) і перевірте.

Я пам'ятаю, що я міг генерувати 200000 хешей на секунду для хешу LM. Залежно від того, як Truecrypt зберігає хеш, і якщо його можна отримати з заблокованого тома, це може зайняти більше або менше часу.

Атаки грубої сили часто використовуються, коли зловмисник має велику кількість хешей. Після запуску загального словника вони часто починають пропускати паролі з загальними атаками на грубу силу. Нумеровані паролі до десяти, розширені альфа-і числові, буквено-цифрові та загальні символи, буквено-цифрові та розширені символи. Залежно від мети нападу він може вести з різними показниками успіху. Спроба скомпрометувати безпеку одного облікового запису, зокрема, часто не є метою.

Ще один учасник, Фоші розширює ідею:

Brute-Force не є життєздатною атакою, майже завжди. Якщо зловмисник нічого не знає про ваш пароль, він не отримує його через грубу силу на цій стороні 2020 року. Це може змінитися в майбутньому, оскільки апаратні досягнення (наприклад, можна використовувати всі, однак, багато хто, тепер ядра на i7, масово прискорюючи процес (все-таки говоримо років)

Якщо ви хочете бути надто захищеним, вставте в нього символ розширеного ascii (утримуйте Alt, використовуйте цифрову клавіатуру, щоб ввести номер, більший за 255). Роблячи це в значній мірі запевняє, що звичайна груба сила є марною.

Ви повинні бути стурбовані потенційними недоліками в алгоритмі шифрування truecrypt, який може зробити пошук пароля набагато простішим, і, звичайно, найскладніший пароль у світі є марним, якщо машина, яку ви використовуєте, скомпрометована.

Ми хотіли б пояснити відповідь Фоші на тему: "Груба сила не є життєздатною атакою, коли використовується сучасне шифрування нинішнього покоління, майже ніколи".

Як ми підкреслили в нашій нещодавній статті, Brute-Force Attacks пояснили: Як все шифрування є вразливим, схеми шифрування віку і збільшення потужності апаратного забезпечення, так що це лише питання часу, перш ніж те, що раніше було жорсткою метою (як алгоритм шифрування пароля NTLM від Microsoft) є поразкою протягом кількох годин.

Маєте щось додати до пояснення? Звучить в коментарях. Хочете прочитати більше відповідей від інших технологічних користувачів Stack Exchange? Перегляньте повний потік обговорення тут.