Trang chủ » làm thế nào để » Mật khẩu ngắn có thực sự không an toàn?

    Mật khẩu ngắn có thực sự không an toàn?


    Bạn biết mũi khoan: sử dụng mật khẩu dài và đa dạng, không sử dụng cùng một mật khẩu hai lần, sử dụng một mật khẩu khác nhau cho mỗi trang web. Sử dụng một mật khẩu ngắn thực sự nguy hiểm?
    Phiên hỏi và trả lời hôm nay đến với chúng tôi nhờ sự hỗ trợ của SuperUser - một phân ngành của Stack Exchange, một nhóm các trang web Hỏi & Đáp do cộng đồng điều khiển.

    Câu hỏi

    Người dùng SuperUser người dùng 31073 tò mò liệu anh ta có thực sự chú ý đến những cảnh báo mật khẩu ngắn đó không:

    Sử dụng các hệ thống như TrueCrypt, khi tôi phải xác định mật khẩu mới, tôi thường được thông báo rằng việc sử dụng một mật khẩu ngắn là không an toàn và rất dễ bị lỗi bởi brute-force.

    Tôi luôn sử dụng mật khẩu có độ dài 8 ký tự, không dựa trên các từ trong từ điển, bao gồm các ký tự từ bộ A-Z, a-z, 0-9

    I E. Tôi sử dụng mật khẩu như sDvE98f1

    Làm thế nào dễ dàng để bẻ khóa một mật khẩu như vậy bằng vũ lực? I E. nhanh như thế nào.

    Tôi biết nó phụ thuộc rất nhiều vào phần cứng nhưng có lẽ ai đó có thể ước tính tôi sẽ mất bao lâu để thực hiện việc này trên lõi kép với 2GHZ hoặc bất cứ điều gì để có khung tham chiếu cho phần cứng.

    Để tấn công bằng mật khẩu như vậy, người ta không chỉ cần phải xoay vòng qua tất cả các kết hợp mà còn cố gắng giải mã với từng mật khẩu đã đoán mà cũng cần một chút thời gian.

    Ngoài ra, có một số phần mềm để tấn công TrueCrypt vì tôi muốn thử dùng vũ lực bẻ khóa mật khẩu của chính mình để xem phải mất bao lâu nếu nó thực sự rất dễ dàng.

    Các mật khẩu ký tự ngẫu nhiên ngắn có thực sự có nguy cơ?

    Câu trả lời

    Người đóng góp cho SuperUser Josh K. nhấn mạnh những gì kẻ tấn công sẽ cần:

    Nếu kẻ tấn công có thể có quyền truy cập vào hàm băm mật khẩu, việc tấn công mật khẩu thường rất dễ dàng vì nó đơn giản đòi hỏi phải băm mật khẩu cho đến khi băm khớp.

    Sức mạnh của hash hash hash phụ thuộc vào cách lưu trữ mật khẩu. Băm MD5 có thể mất ít thời gian hơn để tạo băm SHA-512.

    Windows đã từng (và có thể, tôi vẫn không biết) lưu trữ mật khẩu ở định dạng băm LM, nó đã vượt quá mật khẩu và chia thành hai phần 7 ký tự sau đó được băm. Nếu bạn có mật khẩu 15 ký tự thì sẽ không thành vấn đề vì nó chỉ lưu trữ 14 ký tự đầu tiên và rất dễ bị ép buộc vì bạn không bắt buộc phải nhập mật khẩu 14 ký tự, bạn đã buộc phải sử dụng hai mật khẩu 7 ký tự.

    Nếu bạn cảm thấy cần thiết, hãy tải xuống một chương trình như John The Ripper hoặc Cain & Abel (liên kết bị giữ lại) và kiểm tra nó.

    Tôi nhớ rằng có thể tạo ra 200.000 băm một giây cho hàm băm LM. Tùy thuộc vào cách Truecrypt lưu trữ hàm băm và nếu nó có thể được truy xuất từ ​​một khối bị khóa, có thể mất nhiều thời gian hơn hoặc ít hơn.

    Các cuộc tấn công vũ phu thường được sử dụng khi kẻ tấn công có một số lượng lớn các băm phải trải qua. Sau khi chạy qua một từ điển thông thường, họ sẽ thường bắt đầu loại bỏ mật khẩu bằng các cuộc tấn công vũ phu thông thường. Mật khẩu được đánh số lên đến mười, mở rộng alpha và số, chữ số và ký hiệu phổ biến, chữ và số và ký hiệu mở rộng. Tùy thuộc vào mục tiêu của cuộc tấn công, nó có thể dẫn đầu với tỷ lệ thành công khác nhau. Cố gắng thỏa hiệp bảo mật của một tài khoản nói riêng thường không phải là mục tiêu.

    Một người đóng góp khác, Phoshi mở rộng ý tưởng:

    Brute-Force không phải là một cuộc tấn công khả thi, khá nhiều Nếu kẻ tấn công không biết gì về mật khẩu của bạn, anh ta sẽ không nhận được thông qua vũ trang bên này vào năm 2020. Điều này có thể thay đổi trong tương lai, vì phần cứng tiến bộ (Ví dụ: người ta có thể sử dụng tất cả những gì nó có bây giờ lõi trên một i7, tăng tốc quá trình (mặc dù vẫn nói nhiều năm)

    Nếu bạn muốn được bảo mật - an toàn, hãy gắn biểu tượng ascii mở rộng ở đó (Giữ alt, sử dụng numpad để nhập số lớn hơn 255). Làm điều đó khá nhiều đảm bảo rằng một vũ phu đơn giản là vô dụng.

    Bạn nên lo lắng về các lỗ hổng tiềm năng trong thuật toán mã hóa của truecrypt, điều này có thể giúp việc tìm mật khẩu dễ dàng hơn nhiều và tất nhiên, mật khẩu phức tạp nhất trên thế giới là vô dụng nếu máy bạn đang sử dụng bị xâm nhập.

    Chúng tôi sẽ chú thích câu trả lời của Phoshi để đọc Mạnh Brute-force không phải là một cuộc tấn công khả thi, khi sử dụng mã hóa thế hệ hiện tại tinh vi, gần như đã từng.

    Như chúng tôi đã nhấn mạnh trong bài viết gần đây, Brute-Force Attacks đã giải thích: Làm thế nào tất cả mã hóa dễ bị tổn thương, độ tuổi mã hóa và sức mạnh phần cứng tăng lên, do đó, vấn đề trước đây là mục tiêu cứng (như thuật toán mã hóa mật khẩu NTLM của Microsoft) là thất bại trong vài giờ.


    Có một cái gì đó để thêm vào lời giải thích? Tắt âm thanh trong các ý kiến. Bạn muốn đọc thêm câu trả lời từ những người dùng Stack Exchange am hiểu công nghệ khác? Kiểm tra chủ đề thảo luận đầy đủ ở đây.