Tiedät porauksen: käytä pitkää ja vaihtelevaa salasanaa, älä käytä samaa salasanaa kahdesti, käytä eri salasanaa jokaiselle sivustolle. Käyttääkö lyhyt salasana todella vaarallista?
Tämän päivän kysymys- ja vastausistunto tulee meihin SuperUserin hyväksi - Stack Exchangein alaosasto, joka on yhteisöllinen Q & A-sivustojen ryhmittely.
SuperUser-lukija user31073 on utelias, pitäisikö hän todella huomioida nämä lyhytsanoman varoitukset:
Kun käytän TrueCrypt-järjestelmää, kun määritän uuden salasanan, minulle kerrotaan usein, että lyhyt salasana on epäselvä ja "erittäin helppo" rikkoa raa'alla voimalla.
Käytän aina 8-merkkiä pitkiä salasanoja, jotka eivät perustu sanakirjojen sanoihin, jotka koostuvat joukosta A-Z, a-z, 0-9
Toisin sanoen Käytän salasanaa, kuten sDvE98f1
Kuinka helppoa on tällaisen salasanan katkaiseminen raa'alla voimalla? Toisin sanoen kuinka nopeasti.
Tiedän sen olevan voimakkaasti riippuvainen laitteistosta, mutta ehkä joku voisi antaa minulle arvion kuinka kauan se kestää tehdä tämän kahden ytimen kanssa 2GHZ tai mitä tahansa on viitekehys laitteisto.
Tällaisen salasanan hyökkäämiseen ei ole syytä pelkästään selata kaikkia yhdistelmiä, vaan myös yrittää purkaa jokaisen arvoitetun salasanan, joka tarvitsee myös jonkin aikaa.
Lisäksi on olemassa joitain ohjelmia, joilla raa'at voimaa hakata TrueCryptin, koska haluan yrittää raa'alla voimalla murtaa oma salasanani ja nähdä, kuinka kauan kestää, jos se on todella "erittäin helppoa".
Ovatko lyhyet satunnainen-merkki-salasanat todella vaarassa?
SuperUser-avustaja Josh K. korostaa, mitä hyökkääjä tarvitsisi:
Jos hyökkääjä voi päästä käsiksi salasanan hash: iin, on usein erittäin helppoa raa'aa voimaa, koska se sisältää yksinkertaisesti haukkojen salasanoja, kunnes haasteet vastaavat.
Lihan "vahvuus" riippuu salasanan tallentamisesta. MD5-hajautus voi kestää vähemmän aikaa tuottaa sitten SHA-512-hajautus.
Windows käytti (ja voi silti, en tiedä) tallentaa salasanoja LM hash -muodossa, joka nosti salasanan ja jakaa sen kahteen 7 merkkiseen osaan, jotka sitten hajotettiin. Jos sinulla oli 15 merkin salasana, sillä ei olisi väliä, koska se tallensi vain ensimmäiset 14 merkkiä, ja se oli helppo herättää voimaa, koska et olleet kovin pakotettuja 14-merkkisen salasanan vuoksi.
Jos tuntuu tarpeelliselta, lataa ohjelma kuten John The Ripper tai Cain & Abel (linkit pidätetään) ja testaa se.
Muistan, että voin tuottaa 200 000 leikkausta sekunnin LM-hajautuksesta. Riippuen siitä, miten Truecrypt tallentaa hajautuksen, ja jos se voidaan hakea lukitusta tilavuudesta, se voi kestää enemmän tai vähemmän aikaa.
Hyökkääjähyökkäyksiä käytetään usein silloin, kun hyökkääjällä on suuri määrä hashkoja. Kun kulkevat yhteisen sanaston läpi, he alkavat usein hiirellä salasanoja yhteisten raa'at hyökkäysten avulla. Numeroidut salasanat enintään kymmeneen, laajennettuihin alfa- ja numeerisiin, aakkosnumeerisiin ja yleisiin symboleihin, aakkosnumeerisiin ja laajennettuihin symboleihin. Hyökkäyksen tavoitteesta riippuen se voi johtaa vaihtelevalla menestysasteella. Tavoitteena ei ole useinkaan pyrkiä estämään tietyn tilin turvallisuutta etenkään.
Toinen avustaja, Phoshi laajenee ajatukseen:
Brute-Force ei ole elinkelpoinen hyökkäys, aika paljon. Jos hyökkääjä ei ole tietoinen salasanallasi, hän ei saa sitä läpi raa'alla voimalla tämän vuoden 2020 puolella. Tämä voi muuttua tulevaisuudessa, kun laitteisto etenee (Esimerkiksi voisi käyttää kaikkia kuitenkin-monia-se-has- nyt ytimet i7: ssa, mikä nopeuttaa prosessia voimakkaasti (vieläkin puhuvat vuodet)
Jos haluat olla - super-turvallinen, pidä siellä laajennetun ascii-symbolin (pidä alttaria, näppäile numero numeron ollessa suurempi kuin 255). Se tekee melko paljon varmasti, että tavallinen raa'at voima on hyödytöntä.
Sinun pitäisi olla huolissaan mahdollisista puutteista, jotka ovat väärennetyissä kriittisissä salakirjoitusalgoritmissa, mikä voisi helpottaa salasanan löytämistä ja tietenkin monimutkaisimmasta salasanasta maailmassa on hyödytöntä, jos kone, jota käytät, on vaarantunut.
Merkitsisimme Phoshin vastauksen lukemaan "Brute-force ei ole elinkelpoinen hyökkäys, kun käytät hienostunutta nykyisen sukupolven salausta melko paljon koskaan".
Kuten korostimme äskettäisessä artikkelissamme, Brute-Force Attacks Explained: Miten kaikki salaus on haavoittuva, salausohjelmat iän ja laitteiston tehon kasvaessa, joten se on vain aika ennen kuin se oli kova tavoite (kuten Microsoftin NTLM-salausalgoritmi) on tuhoutuva muutamassa tunnissa.
Onko jokin asia lisättävä selitykseen? Kuulkaa kommentit. Haluatko lukea lisää vastauksia muilta tech-tajuilta Stack Exchange-käyttäjiltä? Katso koko keskusteluketju täältä.
