Är korta lösenord verkligen så osäkra?
Du vet borren: använd ett långt och varierat lösenord, använd inte samma lösenord två gånger, använd ett annat lösenord för varje webbplats. Användar ett kort lösenord verkligen så farligt?
Dagens Question & Answer-session kommer till oss med tillstånd av SuperUser-en indelning av Stack Exchange, en community-driven gruppering av Q & A-webbplatser.
Frågan
SuperUser-läsaren user31073 är nyfiken på att han verkligen bör ta itu med dessa varningar med kort lösenord:
Att använda system som TrueCrypt, när jag måste definiera ett nytt lösenord, informeras jag ofta om att med ett kort lösenord är det osäkert och "väldigt lätt" att bryta mot brute-force.
Jag använder alltid lösenord med 8 tecken i längd, som inte är baserade på ordlistor, som består av tecken från uppsättningen A-Z, a-z, 0-9
Dvs. Jag använder lösenord som sDvE98f1
Hur lätt är det att spricka ett sådant lösenord med brute-force? Dvs. hur snabbt.
Jag vet att det är mycket beroende av hårdvaran men kanske någon kunde ge mig en uppskattning hur lång tid det skulle ta för att göra detta på en dubbelkärna med 2GHz eller vad som helst för att ha en referensram för hårdvaran.
För att angripa ett sådant lösenord måste man inte bara cykla genom alla kombinationer utan också försöka dekryptera med varje gissat lösenord som också behöver lite tid.
Också finns det någon programvara för brute-force hack TrueCrypt eftersom jag vill försöka brute-force spricka mitt eget lösenord för att se hur lång tid det tar om det verkligen är så "väldigt lätt".
Är korta slumpmässiga lösenord verkligen i fara?
Svaret
SuperUser-bidragsgivaren Josh K. belyser vad angriparen skulle behöva:
Om angriparen kan få åtkomst till lösenordshashen är det ofta mycket lätt att brute force eftersom det helt enkelt medför hash-lösenord tills hackarna matchar.
Hash "styrka" är beroende av hur lösenordet lagras. En MD5-hash kan ta mindre tid att generera än en SHA-512 hash.
Windows brukade (och kanske inte, jag vet inte) lagra lösenord i ett LM hash-format, vilket upplöste lösenordet och delade det i två 7 teckenbitar som sedan hade hashed. Om du hade ett 15 tecken lösenord det inte spelar någon roll eftersom det bara lagrade de första 14 tecknen, och det var lätt att brute force eftersom du inte var brute tvinga ett 14 tecken lösenord, du var brute tvingar två 7 tecken lösenord.
Om du känner behovet, ladda ner ett program som John The Ripper eller Cain & Abel (länkar bibehållna) och testa det.
Jag minns att kunna generera 200.000 haschar en sekund för en LM hash. Beroende på hur Truecrypt lagrar hash, och om det kan hämtas från en låst volym, kan det ta mer eller mindre tid.
Brutta kraftattacker används ofta när angriparen har ett stort antal hash för att gå igenom. Efter att ha kört igenom en gemensam ordbok börjar de ofta lura lösenord ut med vanliga brutala kraftattacker. Numrerade lösenord upp till tio, utökade alfanumeriska och numeriska, alfanumeriska och vanliga symboler, alfanumeriska och utökade symboler. Beroende på målet för attacken kan det leda till varierande framgångssatser. Att försöka äventyra säkerheten för ett konto i synnerhet är ofta inte målet.
En annan bidragsgivare, Phoshi expanderar på idén:
Brute-Force är inte en livskraftig attack, ganska mycket någonsin. Om angriparen inte vet något om ditt lösenord får han inte den genom brute-force den här sidan av 2020. Det kan komma att förändras i framtiden, när hårdvara går vidare (Till exempel kan man använda alla men-många-det-har- nu kärnor på en i7, massivt påskynda processen (fortfarande talande år, men))
Om du vill vara säker, klistra du en extended-ascii-symbol där (Håll alt, använd numrering för att skriva in ett nummer större än 255). Om du gör det så försäkrar du dig om att en vanlig brute-kraft är värdelös.
Du borde vara oroad över potentiella brister i truecrypts krypteringsalgoritm, vilket kan göra det enklare att hitta ett lösenord och det är naturligtvis det mest komplexa lösenordet i världen som är värdelöst om den maskin du använder den på är äventyrad.
Vi skulle annotera Phoshis svar att läsa "Brute-Force är inte en livskraftig attack, när vi använder sofistikerad nuvarande generationens kryptering, ganska mycket någonsin".
Som vi framhävde i vår senaste artikel förklarade Brute Force Attacks: Hur all kryptering är utsatt, krypteringssystem åldras och hårdvarukraft ökar så det är bara en fråga om tid innan vad som var ett svårt mål (som Microsofts NTLM lösenordskrypteringsalgoritm) är besegrad om några timmar.
Har du något att lägga till förklaringen? Ljud av i kommentarerna. Vill du läsa mer svar från andra tech-savvy Stack Exchange-användare? Kolla in hela diskussionsgängan här.