Οι σύντομοι κωδικοί πρόσβασης είναι πραγματικά αβέβαιοι;

Χρησιμοποιώντας συστήματα όπως το TrueCrypt, όταν πρέπει να ορίσω έναν νέο κωδικό πρόσβασης, είμαι συχνά ενημερωμένος ότι η χρήση ενός σύντομου κωδικού πρόσβασης είναι ανασφαλής και "πολύ εύκολη" για να σπάσει με βίαιη δύναμη.

Χρησιμοποιώ πάντα κωδικούς μήκους 8 χαρακτήρων, οι οποίοι δεν βασίζονται σε λεξικές λέξεις, που αποτελείται από χαρακτήρες από το σύνολο A-Z, a-z, 0-9

Π.χ. Χρησιμοποιώ κωδικό πρόσβασης όπως sDvE98f1

Πόσο εύκολο είναι να σπάσετε έναν τέτοιο κωδικό πρόσβασης με βίαιη δύναμη; Π.χ. πόσο γρήγορα.

Ξέρω ότι εξαρτάται σε μεγάλο βαθμό από το υλικό, αλλάίσως κάποιος θα μπορούσε να μου δώσει μια εκτίμηση πόσο καιρό θα χρειαζόταν για να γίνει αυτό σε ένα διπλό πυρήνα με 2GHZ ή οτιδήποτε άλλο να έχει ένα πλαίσιο αναφοράς για το υλικό.

Για την επίθεση με βίαιη δύναμη ένας τέτοιος κωδικός πρόσβασης δεν χρειάζεται μόνο να μετακινηθείτε σε όλους τους συνδυασμούς αλλά επίσης να προσπαθήσετε να αποκρυπτογραφήσετε με κάθε εικαστικό κωδικό που χρειάζεται επίσης κάποιο χρόνο.

Επίσης, υπάρχει κάποιο λογισμικό για να χτυπάει σκληρό TrueCrypt hack επειδή θέλω να προσπαθήσω να brute-δύναμη ραγίσει τον δικό μου κωδικό πρόσβασης για να δούμε πόσο καιρό παίρνει αν είναι πραγματικά ότι "πολύ εύκολο".

Εάν ο εισβολέας μπορεί να αποκτήσει πρόσβαση στο hash του κωδικού πρόσβασης, είναι συχνά πολύ εύκολο να αποφευχθεί η βίαιη βία, καθώς συνεπάγεται απλώς τους κωδικούς εξαφάνισης μέχρι να αντιστοιχιστούν τα hashes.

Η "δύναμη" κατακερματισμού εξαρτάται από τον τρόπο αποθήκευσης του κωδικού πρόσβασης. Ένας κατακερματισμός MD5 μπορεί να πάρει λιγότερο χρόνο για να δημιουργήσει ένα SHA-512 hash.

Τα Windows χρησιμοποιούσαν (και ίσως ακόμα, δεν ξέρω)αποθηκεύστε τους κωδικούς πρόσβασης σε μορφή LM hash, ο οποίος υπερέβη τον κωδικό πρόσβασης και διαιρέθηκε σε δύο τεμάχια 7 χαρακτήρων τα οποία στη συνέχεια είχαν χυθεί. Εάν είχατε έναν κωδικό πρόσβασης 15 χαρακτήρων, δεν θα είχε σημασία επειδή αποθηκεύει μόνο τους πρώτους 14 χαρακτήρες και ήταν εύκολο να βγάλει βίαιη δύναμη επειδή δεν ήσασταν βίαιοι που πιέζονταν έναν κωδικό 14 χαρακτήρων, ήσασταν βίαιοι που ανάγκασαν δύο κωδικούς 7 χαρακτήρων.

Αν νιώθετε την ανάγκη, κατεβάστε ένα πρόγραμμα όπως το John The Ripper ή το Cain & Abel (σύνδεσμοι παρακρατημένοι) και δοκιμάστε το.

Θυμάμαι ότι ήταν σε θέση να δημιουργήσει 200.000 hashes ένα δευτερόλεπτο για ένα hash LM. Ανάλογα με το πώς η Truecrypt αποθηκεύει τον κατακερματισμό και αν μπορεί να ανακτηθεί από κλειδωμένο τόμο, μπορεί να χρειαστεί περισσότερος ή λιγότερος χρόνος.

Οι βίαιες επιθέσεις δύναμης χρησιμοποιούνται συχνά όταν τοο επιτιθέμενος έχει μεγάλο αριθμό χασίς για να περάσει. Μετά από ένα κοινό λεξικό θα αρχίσουν συχνά να ξεχυθούν οι κωδικοί πρόσβασης με κοινές βίαιες επιθέσεις. Αριθμημένοι κωδικοί πρόσβασης έως δέκα, εκτεταμένα άλφα και αριθμητικά, αλφαριθμητικά και κοινά σύμβολα, αλφαριθμητικά και εκτεταμένα σύμβολα. Ανάλογα με το στόχο της επίθεσης μπορεί να οδηγήσει με διαφορετικά ποσοστά επιτυχίας. Η προσπάθεια να υπονομευθεί η ασφάλεια ενός λογαριασμού ειδικότερα συχνά δεν είναι ο στόχος.

Το Brute-Force δεν είναι βιώσιμη επίθεση, σχεδόν πάντα. Εάν ο επιτιθέμενος δεν γνωρίζει τίποτα για τον κωδικό πρόσβασής σας, δεν το παίρνει μέσα από τη βίαιη δύναμη αυτή την πλευρά του 2020. Αυτό μπορεί να αλλάξει στο μέλλον καθώς η εξέλιξη του υλικού (Για παράδειγμα, θα μπορούσαμε να χρησιμοποιήσουμε όλα αυτά - πολλά - τώρα πυρήνες σε i7, επιταχύνοντας μαζικά τη διαδικασία (Ακόμα και χρόνια)

Εάν θέλετε να είστε πολύ ασφαλείς, κολλήστε έναεπεκταμένο σύμβολο ascii εκεί (Κρατήστε alt, χρησιμοποιήστε το αριθμητικό πληκτρολόγιο για να πληκτρολογήσετε έναν αριθμό μεγαλύτερο από 255). Κάτι τέτοιο βεβαιώνει ότι μια απλή βίαιη δύναμη είναι άχρηστη.

Θα πρέπει να ανησυχείτε για τυχόν ατέλειες στοτο αλγόριθμο κρυπτογράφησης του truecrypt, το οποίο θα μπορούσε να καταστήσει πολύ πιο εύκολο τον εντοπισμό του κωδικού πρόσβασης και φυσικά ο πιο σύνθετος κωδικός πρόσβασης στον κόσμο είναι άχρηστος εάν παραβιάζεται το μηχάνημα στο οποίο το χρησιμοποιείτε.