Er korte passord virkelig usikre?

Når jeg bruker systemer som TrueCrypt, når jeg må definere et nytt passord, blir jeg ofte informert om at bruk av et kort passord er usikkert og "veldig enkelt" å bryte med brute-force.

Jeg bruker alltid passord på 8 tegn i lengde, som ikke er basert på ordbok, som består av tegn fra settet A-Z, a-z, 0-9

Dvs. Jeg bruker passord som sDvE98f1

Hvor lett er det å knekke et slikt passord med brute-force? Dvs. hvor fort.

Jeg vet at det sterkt avhenger av maskinvaren, menkanskje noen kan gi meg et anslag hvor lang tid det vil ta å gjøre dette på en dual core med 2GHZ eller hva som helst å ha en referanseramme for maskinvaren.

For å angripe et slikt passord trenger du ikke bare å bla gjennom alle kombinasjoner, men også prøve å dekryptere med hvert gjettet passord som også trenger litt tid.

Er det også noe programvare for å brute-force hack TrueCrypt fordi jeg vil prøve å brute-force knekke mitt eget passord for å se hvor lang tid det tar hvis det virkelig er så "veldig enkelt".

Hvis angriperen kan få tilgang til passord-hasj, er det ofte veldig enkelt å brute kraft siden det ganske enkelt innebærer hashing-passord til hasjene stemmer overens.

Hash-styrken er avhengig av hvordan passordet er lagret. Det kan ta kortere tid å generere en MD5-hash da en SHA-512-hash.

Windows pleide å (og kan fremdeles, jeg vet ikke)lagre passord i et LM-hashformat, som versaleret passordet og delte det i to 7-tegn biter som deretter ble hashet. Hvis du hadde et passord på 15 tegn, hadde det ikke noe å si fordi det bare lagret de første 14 tegnene, og det var lett å brute kraft fordi du ikke hadde brute å tvinge et passord på 14 tegn, og tvang to passord på 7 tegn.

Hvis du føler behov, kan du laste ned et program som John The Ripper eller Cain & Abel (lenker tilbakeholdt) og teste det.

Jeg husker at jeg kunne generere 200 000 hasjer i sekundet for en LM-hasj. Avhengig av hvordan Truecrypt lagrer hasjen, og om den kan hentes fra et låst volum, kan det ta mer eller mindre tid.

Brute force-angrep brukes ofte nårangriper har et stort antall hasjer å gå gjennom. Etter å ha kjørt gjennom en felles ordbok vil de ofte begynne å luke passord med vanlige angrep mot brute force. Nummererte passord opptil ti, utvidede alfa- og numeriske, alfanumeriske og vanlige symboler, alfanumeriske og utvidede symboler. Avhengig av angrepet, kan det føre til varierende suksessrater. Å prøve å kompromittere sikkerheten til en konto spesielt er ofte ikke målet.

Brute-Force er ikke et levedyktig angrep, ganske mye noensinne. Hvis angriperen ikke vet noe om passordet ditt, får han ikke det gjennom brute-force denne siden av 2020. Dette kan endre seg i fremtiden, etter hvert som maskinvare går fremover (for eksempel kan man bruke alt det derimot-mange-det-har- nå kjerner på en i7, med en rask hastighet på prosessen (men snakker fortsatt år)

Hvis du vil være -sikker-sikker, stikk enutvidet-ascii-symbol der inne (Hold alt, bruk numpad for å skrive inn et tall større enn 255). Å gjøre det ganske forsikrer at en ren brute-styrke er ubrukelig.

Du bør være bekymret for potensielle feil itruecrypts krypteringsalgoritme, som kan gjøre det lettere å finne et passord, og selvfølgelig er det mest komplekse passordet i verden ubrukelig hvis maskinen du bruker det på er kompromittert.