Quanto è davvero insicura la mia password breve?

17

Usando sistemi come TrueCrypt, quando devo definire una nuova password, sono spesso informato che l'uso di una password breve è insicuro e "molto facile" da rompere con la forza bruta.

Uso sempre password di 8 caratteri di lunghezza, che non sono basate su parole del dizionario, che consiste di caratteri dell'insieme AZ, az, 0-9

Cioè io uso la password come sDvE98f1

Quanto è facile decifrare una tale password con la forza bruta? Cioè quanto velocemente.

So che dipende fortemente dall'hardware, ma forse qualcuno potrebbe darmi una stima di quanto tempo ci vorrebbe per farlo su un dual core con 2GHZ o qualsiasi altra cosa per avere un quadro di riferimento per l'hardware.

Per attaccare con forza tale password è necessario non solo scorrere tutte le combinazioni, ma anche provare a decifrare con ogni password indovinata che richiede anche un po 'di tempo.

Inoltre, esiste un software per hackerare TrueCrypt a forza bruta perché voglio provare a forzare la mia password di sicurezza per vedere quanto tempo impiega se è davvero "molto facile".

security passwords truecrypt

— user31073
fonte

10

Bene, ora che ci hai detto che le tue password sono sempre 8 caratteri e non parole del dizionario, hai reso tutto molto più semplice ;-)

— Josh

Dannazione! Avrei dovuto prendere una parola del dizionario ... :)

— user31073

Se sei davvero preoccupato per le password, prova KeePass . La mia gestione delle password aveva raggiunto una massa critica, poi KeePass mi ha cambiato la vita. Ora devo solo ricordare 2 password, una per accedere al mio computer e una per accedere al mio database KeePass. Tutte le mie password (e la maggior parte dei miei nomi utente) sono ora uniche ed estremamente complesse e l'uso di una combinazione nome utente / password è facile come CTRL+ ALT+ Ase ho effettuato l'accesso a KeePass.

— ubiquibacon,

11

Se l'aggressore può accedere all'hash della password, è spesso molto facile forzare la forza poiché implica semplicemente password di hashing fino a quando gli hash corrispondono.

La "forza" dell'hash dipende da come è memorizzata la password. Un hash MD5 potrebbe richiedere meno tempo per generare un hash SHA-512.

Windows era solito (e forse non lo so) archiviare le password in un formato hash LM, che metteva in maiuscolo la password e la divideva in due blocchi di 7 caratteri che venivano poi sottoposti a hash. Se avessi una password di 15 caratteri non avrebbe importanza perché memorizzava solo i primi 14 caratteri ed era facile forzare la forza perché non eri costretto a forzare una password di 14 caratteri, eri costretto a forzare due password di 7 caratteri.

Se ne senti la necessità, scarica un programma come John The Ripper o Cain & Abel (link trattenuti) e testalo.

Ricordo di essere riuscito a generare 200.000 hash al secondo per un hash LM. A seconda di come Truecrypt memorizza l'hash e se può essere recuperato da un volume bloccato, potrebbe richiedere più o meno tempo.

Gli attacchi di forza bruta sono spesso usati quando l'attaccante ha un gran numero di hash da attraversare. Dopo aver eseguito un dizionario comune, spesso iniziano a eliminare le password con comuni attacchi di forza bruta. Password numerate fino a dieci, simboli alfa e numerici estesi, simboli alfanumerici e comuni, simboli alfanumerici ed estesi. A seconda dell'obiettivo dell'attacco, può condurre con percentuali di successo variabili. Tentare di compromettere la sicurezza di un account in particolare spesso non è l'obiettivo.

— Josh K
fonte

Grazie per questa risposta Avrei dovuto menzionare che normalmente uso RIPEMD-160 per la funzione hash. E per la password, con il modo in cui la generi come descritto sopra è 218340105584896 password possibile (26 + 26 + 10) ^ 8 (ma l'attaccante non lo sa). Quindi mi chiedo solo se tali password siano sicure contro gli attacchi di forza bruta entro limiti ragionevoli (non sto parlando di keylogger, crittografi o crittografia di tubi di gomma, ma solo di indovinare la password di forza bruta). E sto usando principalmente TrueCrypt.

— user31073

Giusto per chiarire, hai risposto alla mia domanda, sulla base di 200.000 per 218340105584896 combinazioni su 1 nodo ci sarebbero voluti ~ 36 anni, a condizione che l'attaccante conoscesse la lunghezza della password. Questo è anche ciò che mi dà il calcolatore online. Grazie!

— user31073

Se è possibile ottenere l'hash, allora sì, è possibile eseguire un attacco di forza bruta. Il loro successo dipende molto da quanto sanno della password e da quanto tempo hanno. Risposta aggiornata

— Josh K,

3

Ricorda che 36 anni diventano rapidi se esegui il calcolo preliminare degli hash utilizzando una rete distribuita. Se usi 1000 computer, questo dipende da un numero gestibile.

— Rich Bradshaw,

1

È anche bene ricordare che aumentando la lunghezza della password la difficoltà aumenta immensamente. Se la password di 8 caratteri impiega 36 anni, raddoppiando la lunghezza a 16 caratteri il tempo non è raddoppiato, ma salta invece a 7663387620052652 anni. :)

— Ilari Kajaste il

4

La forza bruta non è un attacco praticabile , praticamente mai. Se l'aggressore non sa nulla della tua password, non la sta ottenendo attraverso la forza bruta da questa parte del 2020. Questo potrebbe cambiare in futuro, man mano che l'hardware avanza (ad esempio, si potrebbe usare tutto comunque-molti-esso-ha- ora core su un i7, accelerando enormemente il processo (comunque parlando anni)

Se vuoi essere -super- sicuro, inserisci un simbolo ASCII esteso (tieni premuto alt, usa il tastierino numerico per digitare un numero maggiore di 255). Fare questo assicura praticamente che una semplice forza bruta sia inutile.

Dovresti essere preoccupato per potenziali difetti nell'algoritmo di crittografia di TrueCrypt, che potrebbe rendere molto più facile la ricerca di una password e, naturalmente, la password più complessa al mondo è inutile se la macchina su cui la stai utilizzando è compromessa.

— Phoshi
fonte

Mentre è vero che gli attacchi di forza bruta hanno raramente successo contro un singolo bersaglio, se dovessi scaricare il database utente per un sito Web che utilizza MD5 per eseguire l'hashing delle password, potrei facilmente caricarle ed eseguire una forza bruta contro quella con un limite di 6 caratteri, alfa +, numerici e simboli. Non avrei successo al 100%, ma sarei in grado di compromettere un numero decente di account.

— Josh K,

Se il sale era statico, certo. Non dovrebbe essere. E non è nemmeno una forza bruta, è solo la ricerca contro un tavolo arcobaleno precompilato. C'è una ragione per cui

— saliamo i

Quanti siti web salano gli hash? Una tabella arcobaleno non è semplicemente un attacco di forza bruta compresso in un file? ;) Il mio punto è che se hai 1000 utenti con password, alcuni di loro sono tenuti ad avere password simili 12blue.

— Josh K,

Se un sito Web non sta salando il loro hash, lo stanno facendo male. Una tabella arcobaleno ha tutti i possibili valori, quindi una specie di forza bruta pre-calcolata, vera. | l2blueancora non dovrebbe essere bruta con un buon sale, e ci vorrebbe ancora molto tempo per farlo. (2176782336 possibili combinazioni, supponendo che l'attaccante sappia che è a-z0-9)

— Phoshi

1

È una cattiva idea usare i simboli esteso-ascii, a meno che tu non sia abbastanza sicuro che sarà accettato dal database. Il più delle volte ho la password danneggiata e il sistema non è stato in grado di abbinarla a ciò che ho digitato sul login, anche se è esattamente la stessa. Ciò accade perché unicode non è ancora uno standard comune e la codifica del testo è scarsamente trattata nella maggior parte dei luoghi.

— Cregox,

2

È possibile utilizzare questo strumento online per una stima http://lastbit.com/pswcalc.asp

— Sebtm
fonte

Quanto è preciso quel sito?

— Josh

1

@Josh; Sembra che faccia solo matematica, quindi perfettamente accurato dato una password corretta / secondo valore.

— Phoshi,

Qualche idea sul perché howsecureismypassword.net dice che ci vogliono solo 10 giorni per rompere questa password?

— sgmoore,

1

EDIT: Altri hanno dato buone risposte per la parte della tua domanda riguardante "Quanto è facile decifrare una tale password con la forza bruta? Cioè quanto velocemente"

Per rispondere a questa parte della tua domanda:

Inoltre, esiste un software per hackerare TrueCrypt a forza bruta perché voglio provare a forzare la mia password di sicurezza per vedere quanto tempo impiega se è davvero "molto facile".

Ecco una varietà di opzioni per TrueCrypt bruteforcing

Eccone un altro della Princeton University.

— Josh
fonte

Questo non risponde alla sua domanda su quanto sia sicura la sua breve password, e invece espone vari altri attacchi sulla piattaforma Truecrypt.

— Josh K,

@Josh K: No, risponde alla sua domanda: "Inoltre, c'è qualche software per hackerare la forza bruta in modo violento perché voglio provare a forzare la forza della mia password per vedere quanto tempo impiega se è davvero 'molto facile'."

— Josh,

1

@Joshes ora, non combattere l'uno contro l'altro! In realtà entrambi siete la stessa persona, vero?

— Cregox,

No, in realtà non lo siamo.

— Josh K,

0

La password:

Questa è una password semplice, ma lunga.

è molto più resistente alla forza bruta, inclusi gli attacchi basati su dizionari, rispetto a:

sDvE98f1

Quindi usare una password breve ma difficile è controproducente. È più difficile da ricordare e meno sicuro.

Usa una frase semplice ma lunga.

— Thomas Bonini
fonte

fonte?

— hyperslug,

@hyper: semplice matematica al liceo?

— Thomas Bonini,

1

Randall ha una visualizzazione utile su lunghezza vs complessità: xkcd.com/936

— Charles Lindsay,

0

Il pagliaio di GRC ha detto che ci vorrebbero 36,99 minuti per decifrare la tua password in un attacco offline. https://www.grc.com/haystack.htm

— xxl3ww
fonte