Baru-baru ini saya menerima rekomendasi untuk mengatur kata sandi saya di atas 20 karakter. Algoritma yang digunakan untuk enkripsi adalah AES dengan kunci primer 256 bit. Seberapa aman, katakanlah, 8 kata sandi char terhadap serangan brute force untuk menguraikan file yang dienkripsi?
Saya tahu ini dianggap ukuran kata sandi yang baik di sebagian besar situs web. Salah satu alasannya adalah mereka dapat menghentikan serangan setelah 3 kali percobaan.
Anda mungkin ingin menunjukkan siapa pun yang menulis kebijakan itu di posting blog ini dari Bruce Schneier .
Ini adalah artikel bagus mengapa kekuatan kata sandi adalah yang paling sedikit dari masalah siapa pun di web.
sumber
Lihatlah jawaban yang diterima di pos ini . Menunjukkan bahwa kata sandi 8 karakter menggunakan berbagai karakter dapat memakan waktu ~ 10.000 tahun untuk dipecahkan!
sumber
Jika Anda menghitung penggunaan tabel pelangi sebagai brute force (pendapat berbeda-beda) maka untuk 8 karakter, menggunakan tabel pelangi yang menyertakan semua karakter dalam kata sandi, sekitar 10 detik. Kata sandi 20 karakter (karakter yang sama, tabel pelangi yang sama), kurang dari 30 detik. Tangkapannya adalah bahwa dibutuhkan waktu lama untuk menghasilkan tabel. Milik saya membutuhkan waktu sekitar satu bulan untuk menghasilkan mesin 3GHz yang hanya memproses pada malam hari. Di sisi lain, Anda hanya perlu melakukannya sekali.
Masalah mencoba mengingat kata sandi panjang mudah diselesaikan dengan kombinasi substitusi karakter dan menggunakan frasa. Bahkan sesuatu yang sesederhana "# Fr3ddy M3rcury #" cukup kompleks untuk sebagian besar penggunaan, namun sangat mudah diingat.
sumber
Pertimbangkan kata sandi delapan karakter yang dapat diingat. Kata sandi 20 karakter akan ditulis.
Dan kemudian seseorang dapat membacanya.
sumber
Anda mungkin tertarik pada artikel " Kata Sandi vs. Kata Sandi ". Kesimpulan mereka adalah bahwa kata sandi acak total 9 karakter kira-kira setara dengan frasa sandi 6 kata. Namun mereka merasa frasa 6 kata akan lebih mudah diingat.
sumber
Itu semua tergantung pada karakter yang Anda gunakan, karena ini mengubah jumlah kombinasi yang Anda miliki. Dengan asumsi 8 karakter:
Kata kamus:
Huruf kecil: 26 8 atau 208827064576
Huruf kecil dan huruf besar: 52 8 atau 53459728531456
Lebih rendah, atas dan angka: 62 8 atau 218340105584896
Tambahkan tanda baca dan simbol lainnya dan pemaksaan kasar akan memakan waktu.
Angka-angka itu adalah kombinasi total yang harus dicoba. Jelas, seorang hacker tidak akan mencoba setiap kombinasi setelah mereka mendapatkan kata sandi, jadi bagi dua untuk mendapatkan jumlah rata-rata kombinasi yang diperlukan.
Hash yang lebih keras menghasilkan waktu cpu yang lebih lama untuk menghitung hash, sehingga total waktu lebih lama. Contoh dari john:
Tentu saja ini semua sepenuhnya bersifat akademis, karena peretas hanya akan menelepon sekretaris Anda yang memberi tahu mereka bahwa mereka berasal dari TI dan mereka membutuhkan kata sandi mereka untuk sesuatu dan kata sandi Anda yang kuat tidak berharga.
sumber
Saya menggunakan kata sandi non-sepele untuk melindungi
Saya kurang peduli dengan akun gmail saya, karena upaya brute-force untuk memecahkan kata sandi itu hanya akan mengunci akun (dan siapa pun yang memiliki akses ke server hanya akan mengganti hash dengan salah satu yang mereka pilih, bukan mencoba memecahkannya).
Frasa sandi terbaik adalah panjang (> 12 karakter) dan acak secara kriptografis. Namun, itu lebih sulit untuk diingat. Jadi, frasa sandi yang menggabungkan beberapa kata dengan karakter yang tampaknya acak mungkin merupakan kompromi yang baik (mungkin 1 atau 2 huruf pertama dari beberapa baris pertama dari lirik lagu favorit Anda).
sumber
Ada keamanan yang Anda dapatkan dari berkomunikasi klien / server, misalnya seperti yang Anda katakan, ketika Anda dapat menghentikan penyerang setelah 3 upaya (ketika mereka menyerang melalui jaringan, seperti dengan aplikasi web). Dengan skenario ini, hampir semua panjang kata sandi dapat dianggap memadai.
Namun, jika orang dalam mengambil basis data ini dengan kata sandi singkat yang di-hash dan mampu melewati batasan "over the net" dari 3 upaya, permainan berubah.
Peringatan dengan membatasi jumlah upaya per akun adalah bahwa ini hanya cukup untuk upaya yang ditargetkan pada satu akun tertentu. Anda juga perlu melindungi terhadap serangan pada semua akun dengan kata sandi yang diberikan (atau diijinkan) - ini tidak akan memicu alarm ketika Anda hanya membatasi jumlah upaya per akun. Mengingat NAT dan botnet saat ini, Anda bahkan tidak dapat berdebat bahwa membatasi jumlah upaya per IP adalah cara berpikir keamanan yang baik.
Sumber daya yang baik untuk membaca telah diberikan dalam jawaban lain.
sumber