Anasayfa » nasıl » Kısa Parolalar Gerçekten Bu Güvensiz mi?

    Kısa Parolalar Gerçekten Bu Güvensiz mi?


    Tatbikatı biliyorsunuz: Uzun ve çeşitli bir şifre kullanın, aynı şifreyi iki kez kullanmayın, her site için farklı bir şifre kullanın. Kısa bir şifre kullanıyor mu, gerçekten tehlikeli?
    Bugünün Soru ve Cevap oturumu bize topluluk tarafından yönlendirilen bir soru-cevap web sitesi grubu olan Stack Exchange'in bir alt birimi olan SuperUser'ın izniyle geliyor..

    Soru

    SuperUser okuyucu user31073, bu kısa parola uyarılarına gerçekten kulak verip vermemesi gerektiğini merak ediyor:

    TrueCrypt gibi sistemleri kullanarak, yeni bir şifre tanımlamam gerektiğinde, sık sık kısa bir şifre kullanmanın güvenli olmadığı ve kaba kuvvetle kırılması için “çok kolay” olduğu sık sık bilgilendirilirim..

    Her zaman A-Z, a-z, 0-9 kümesindeki karakterlerden oluşan, sözlük kelimelerine dayanmayan, 8 karakter uzunluğunda şifreler kullanırım.

    Yani SDvE98f1 gibi bir şifre kullanıyorum

    Böyle bir parolayı kaba kuvvetle kırmak ne kadar kolaydır? Yani ne kadar hızlı.

    Çok fazla donanıma bağlı olduğunu biliyorum ama belki birileri bana bunun 2GHZ olan bir çift çekirdekte ya da donanım için bir referans çerçevesine sahip olmanın ne kadar süreceğini tahmin edebilir..

    Böyle bir parolaya kaba kuvvet saldırmak için kişinin yalnızca tüm kombinasyonlar arasında dolaşması değil, aynı zamanda biraz zaman harcayan her tahmin edilen parola ile şifresini çözmesi gerekir..

    Ayrıca, TrueCrypt yazılımını zorla kesmek için bazı yazılımlar var mı, çünkü gerçekten zor "ne kadar kolay" ise ne kadar sürdüğünü görmek için kendi şifremi kırmaya çalışmak istiyorum..

    Kısa rastgele karakterli şifreler gerçekten risk altında mı??

    Cevap

    SuperUser yazarı Josh K., saldırganın ihtiyaç duyacağı şeyleri vurgular:

    Eğer saldırgan şifre karma şifresine erişebiliyorsa, kaba kuvvet kullanmak genellikle çok kolaydır çünkü karma şifreler eşleşinceye kadar şifre şifreler içerir..

    Karma "gücü", şifrenin nasıl depolandığına bağlıdır. Bir MD5 özeti üretmek için daha az zaman alabilir, ardından bir SHA-512 özeti.

    Windows, şifreleri LM hash biçiminde saklardı (ve hala bilmiyorum da olabilir), bu şifreyi daha sonra hashed olan iki 7 karakterlik parçaya böler ve böler. Eğer 15 karakterlik bir şifreniz olsaydı, sadece ilk 14 karakteri sakladığı için farketmezdi ve kaba kuvvet yapmak kolaydı çünkü 14 karakterlik bir şifreyi zorla kullanmadınız, iki 7 karakterlik şifreyi zorla kullanıyordunuz.

    İhtiyaç duyuyorsanız, John Ripper veya Cain & Abel gibi bir programı indirin ve bağlantıları test edin..

    LM karma için saniyede 200.000 karma üretebildiğimi hatırlıyorum. Truecrypt'in karmayı nasıl sakladığına bağlı olarak ve kilitli bir birimden alınabiliyorsa, daha fazla veya daha az zaman alabilir.

    Kaba kuvvet saldırıları, saldırganın geçeceği çok sayıda karmaşa olduğunda sıklıkla kullanılır. Ortak bir sözlükten geçtikten sonra sık sık kaba kaba kuvvet saldırılarıyla şifreleri ayıklamaya başlarlar. On'a kadar numaralandırılmış parola, genişletilmiş alfa ve sayısal, alfanümerik ve ortak semboller, alfanümerik ve uzatılmış semboller. Saldırının amacına bağlı olarak değişen başarı oranları ile yol açabilir. Özellikle bir hesabın güvenliğini tehlikeye atmaya çalışmak genellikle amaç değildir..

    Bir diğer katılımcı, Phoshi bu fikri genişletti:

    Brute-Force uygun bir saldırı değil, hemen hemen hiç. Eğer saldırgan şifreniz hakkında hiçbir şey bilmiyorsa, 2020'nin bu tarafını zorla kullanmayacaktır. Bu, donanım ilerledikçe gelecekte değişebilir (Örneğin, birçoğunun sahip olduğu her şeyi kullanabilir. şimdi bir i7 çekirdeği, süreci büyük ölçüde hızlandırıyor (hala yıllarca konuşuyor)

    Daha güvenli olmak istiyorsanız, içine genişletilmiş bir ascii sembolü yapıştırın (alt tuşunu basılı tutun, 255'ten büyük bir sayı girmek için sayı tuşunu kullanın). Bunu yapmak, kaba kaba kuvvetin işe yaramaz olduğunu garanti eder..

    Truecrypt’in şifreleme algoritmasındaki olası hatalardan endişe duymalısınız; bu, bir şifre bulmayı çok daha kolaylaştırabilir ve elbette, kullandığınız makine tehlikeye girdiğinde, dünyadaki en karmaşık şifre işe yaramaz..

    Phoshi'nin “kaba kuvvet kuvvetli bir güncel nesil şifreleme kullanıldığında, hemen hemen hiç olmazsa olmaz bir saldırı değil” konusundaki cevabını açıklığa kavuşturacağız..

    Son yazımızda vurguladığımız gibi, Brute-Force Attacks Açıklamayı Yaptı: Tüm Şifrelemenin Hassas Olduğu Nasıl? birkaç saat içinde mağlup edilebilir.


    Açıklamaya eklemek için bir şey var mı? Yorumlarda ses kesiliyor. Diğer teknoloji meraklısı Stack Exchange kullanıcılarından daha fazla cevap okumak ister misiniz? Burada tüm tartışma konusuna göz atın.