รหัสผ่านสั้น ๆ นั้นไม่ปลอดภัยจริงเหรอ?
คุณรู้จักการเจาะลึก: ใช้รหัสผ่านที่ยาวและหลากหลายอย่าใช้รหัสผ่านเดียวกันสองครั้งใช้รหัสผ่านที่แตกต่างกันสำหรับทุกไซต์ ใช้รหัสผ่านสั้น ๆ ว่าอันตรายจริงๆ?
เซสชั่นคำถามและคำตอบในวันนี้มาถึงเราด้วยความอนุเคราะห์จาก SuperUser - แผนกย่อยของ Exchange Exchange ซึ่งเป็นกลุ่มที่ขับเคลื่อนด้วยชุมชนของเว็บไซต์ถาม - ตอบ.
คำถาม
ผู้อ่าน superUser user31073 อยากรู้ว่าเขาควรฟังคำเตือนรหัสผ่านสั้น ๆ เหล่านั้นจริง ๆ :
การใช้ระบบเช่น TrueCrypt เมื่อฉันต้องกำหนดรหัสผ่านใหม่ฉันมักจะได้รับแจ้งว่าการใช้รหัสผ่านสั้น ๆ นั้นไม่ปลอดภัยและ“ ง่ายมาก” ในการทำลายโดยการใช้กำลังดุร้าย.
ฉันมักจะใช้รหัสผ่านที่มีความยาว 8 ตัวอักษรซึ่งไม่ได้ขึ้นอยู่กับคำในพจนานุกรมซึ่งประกอบด้วยอักขระจากชุด A-Z, a-z, 0-9
นั่นคือ ฉันใช้รหัสผ่านเช่น sDvE98f1
มันง่ายแค่ไหนที่จะถอดรหัสรหัสผ่านดังกล่าวด้วยการใช้กำลังดุร้าย? นั่นคือ เร็วแค่ไหน.
ฉันรู้ว่ามันขึ้นอยู่กับฮาร์ดแวร์เป็นอย่างมาก แต่อาจมีบางคนประเมินฉันได้ว่าต้องใช้เวลานานแค่ไหนในการทำสิ่งนี้กับดูอัลคอร์ที่มี 2GHZ หรืออะไรก็ตามที่มีกรอบอ้างอิงสำหรับฮาร์ดแวร์.
ในการโจมตีแบบเดรัจฉานบังคับรหัสผ่านนี้ไม่เพียง แต่ต้องผ่านวงจรรวมทั้งหมด แต่ยังพยายามถอดรหัสด้วยรหัสผ่านที่เดาได้ซึ่งต้องใช้เวลา.
นอกจากนี้ยังมีซอฟต์แวร์สำหรับแฮกเกอร์กำลัง TrueCrypt อยู่บ้างเพราะฉันต้องการพยายามใช้รหัสผ่านของตัวเองเพื่อดูว่ามันใช้เวลานานแค่ไหนถ้ามันเป็นเรื่องที่“ ง่ายมาก”.
รหัสผ่านแบบสุ่มสั้น ๆ มีความเสี่ยงจริงๆ?
คำตอบ
ผู้สนับสนุน SuperUser Josh K. เน้นสิ่งที่ผู้โจมตีต้องการ:
หากผู้โจมตีสามารถเข้าใช้งานแฮชรหัสผ่านได้บ่อยครั้งมันง่ายที่จะเดรัจฉานเพราะมันจะส่งผลต่อการแฮ็ชรหัสผ่านจนกระทั่งแฮชตรงกัน.
แฮช“ ความแข็งแกร่ง” ขึ้นอยู่กับวิธีการจัดเก็บรหัสผ่าน MD5 แฮชอาจใช้เวลาน้อยลงในการสร้างแฮช SHA-512.
Windows เคยใช้ (และอาจยังไม่รู้ด้วย) เก็บรหัสผ่านในรูปแบบ LM hash ซึ่งใช้รหัสผ่านตัวใหญ่และแยกออกเป็นสองตัวอักษร 7 ตัวซึ่งถูกแฮชแล้ว หากคุณมีรหัสผ่าน 15 ตัวอักษรมันจะไม่สำคัญเพราะมันเก็บไว้เพียง 14 ตัวแรกเท่านั้นและมันเป็นเรื่องง่ายที่จะเดรัจฉานเพราะคุณไม่ได้เดรัจฉานบังคับให้ใช้รหัสผ่านตัวละคร 14 ตัวคุณจะถูกบังคับให้ใช้รหัสผ่าน 7 ตัวอักษรสองตัว.
หากคุณรู้สึกว่าต้องการให้ดาวน์โหลดโปรแกรมเช่น John The Ripper หรือ Cain & Abel (ลิงค์ที่ถูกระงับ) และทดสอบ.
ฉันจำได้ว่าสามารถสร้างแฮชได้ 200,000 ครั้งต่อวินาทีสำหรับแฮช LM ขึ้นอยู่กับวิธีที่ Truecrypt จัดเก็บแฮชและหากสามารถดึงข้อมูลจากโวลุ่มที่ถูกล็อคได้อาจใช้เวลามากขึ้นหรือน้อยลง.
การโจมตีด้วยกำลังดุร้ายมักใช้เมื่อผู้โจมตีมีแฮ็คจำนวนมากที่ต้องผ่าน หลังจากเรียกใช้พจนานุกรมทั่วไปพวกเขามักจะเริ่มกำจัดรหัสผ่านด้วยการโจมตีแบบเดรัจฉาน รหัสผ่านที่กำหนดหมายเลขได้มากถึงสิบตัวสัญลักษณ์ตัวอักษรและตัวเลขสัญลักษณ์ตัวอักษรและตัวเลขทั่วไปสัญลักษณ์ตัวอักษรและตัวเลขแบบขยาย ขึ้นอยู่กับเป้าหมายของการโจมตีนั้นสามารถนำไปสู่กับอัตราความสำเร็จที่แตกต่างกัน ความพยายามในการประนีประนอมความปลอดภัยของบัญชีหนึ่ง ๆ โดยเฉพาะนั้นไม่ใช่เป้าหมาย.
ผู้สนับสนุนคนอื่น Phoshi ขยายความคิด:
Brute-Force ไม่ใช่การโจมตี, สวยมากเลยทีเดียว หากผู้โจมตีไม่รู้อะไรเกี่ยวกับรหัสผ่านของคุณเขาจะไม่ได้รับมันผ่านทางเดรัจฉานบังคับด้านนี้ของปี 2020 ซึ่งอาจมีการเปลี่ยนแปลงในอนาคตเป็นความก้าวหน้าของฮาร์ดแวร์ (ตัวอย่างเช่นหนึ่งสามารถใช้ทั้งหมด ตอนนี้แกนประมวลผลบน i7, เร่งกระบวนการอย่างหนาแน่น (ยังคงพูดคุยปี, แม้ว่า)
ถ้าคุณต้องการที่จะ -super- ปลอดภัยติดสัญลักษณ์ Extended-Ascii ในนั้น (กด alt ใช้ numpad เพื่อพิมพ์ตัวเลขที่มีขนาดใหญ่กว่า 255) การทำเช่นนั้นค่อนข้างมั่นใจได้ว่ากำลังดุร้ายธรรมดานั้นไร้ประโยชน์.
คุณควรกังวลเกี่ยวกับข้อบกพร่องที่อาจเกิดขึ้นในอัลกอริธึมการเข้ารหัสของ Truecrypt ซึ่งอาจทำให้การค้นหารหัสผ่านง่ายขึ้นและแน่นอนว่ารหัสผ่านที่ซับซ้อนที่สุดในโลกนั้นไร้ประโยชน์หากเครื่องที่คุณใช้อยู่ถูกบุกรุก.
เราจะอธิบายคำตอบของ Phoshi ให้อ่าน“ Brute-force ไม่ใช่การโจมตีที่มีศักยภาพเมื่อใช้การเข้ารหัสการสร้างยุคปัจจุบันที่ซับซ้อนมากทีเดียว”.
ตามที่เราเน้นในบทความล่าสุดของเราการโจมตี Brute-Force อธิบาย: วิธีการเข้ารหัสทั้งหมดมีความเสี่ยงแผนการเข้ารหัสอายุและพลังงานฮาร์ดแวร์เพิ่มขึ้นดังนั้นจึงเป็นเรื่องของเวลาก่อนที่สิ่งที่เคยเป็นเป้าหมายยาก (เช่นอัลกอริทึมการเข้ารหัสรหัสผ่าน NTLM ของ Microsoft) สามารถเอาชนะได้ในเวลาไม่กี่ชั่วโมง.
มีสิ่งที่จะเพิ่มคำอธิบายหรือไม่ ปิดเสียงในความคิดเห็น ต้องการอ่านคำตอบเพิ่มเติมจากผู้ใช้ Stack Exchange คนอื่นหรือไม่ ลองอ่านหัวข้อสนทนาเต็มได้ที่นี่.