Seberapa tidak amannya kata sandi singkat saya?

17

Menggunakan sistem seperti TrueCrypt, ketika saya harus mendefinisikan kata sandi baru, saya sering diberi tahu bahwa menggunakan kata sandi singkat tidak aman dan "sangat mudah" dihancurkan dengan kekerasan.

Saya selalu menggunakan kata sandi yang panjangnya 8 karakter, yang tidak berdasarkan kata-kata kamus, yang terdiri dari karakter dari set AZ, az, 0-9

Yaitu saya menggunakan kata sandi seperti sDvE98f1

Seberapa mudah untuk memecahkan kata sandi seperti itu dengan kekerasan? Yaitu seberapa cepat.

Saya tahu ini sangat tergantung pada perangkat keras tetapi mungkin seseorang dapat memberi saya perkiraan berapa lama untuk melakukan ini pada dual core dengan 2GHZ atau apa pun untuk memiliki kerangka acuan untuk perangkat keras.

Untuk mengurangi serangan password seperti itu, seseorang tidak hanya perlu untuk menggilir semua kombinasi tetapi juga mencoba untuk menghapus dengan setiap kata sandi yang ditebak yang juga membutuhkan waktu.

Juga, apakah ada beberapa perangkat lunak untuk brute-force hack truecrypt karena saya ingin mencoba brute-force untuk memecahkan passsword saya sendiri untuk melihat berapa lama jika benar-benar "sangat mudah".

pengguna31073
sumber
10
Nah sekarang setelah Anda memberi tahu kami kata sandi Anda selalu 8 karakter dan bukan kata-kata kamus, Anda telah membuatnya lebih mudah ;-)
Josh
Sial! Saya seharusnya lebih baik mengambil kata kamus ... :)
user31073
Jika Anda benar-benar khawatir tentang kata sandi, coba KeePass . Manajemen kata sandi saya telah mencapai massa kritis, kemudian KeePass mengubah hidup saya. Sekarang saya hanya perlu mengingat 2 kata sandi, satu untuk masuk ke komputer saya dan satu lagi untuk masuk ke basis data KeePass saya. Semua kata sandi saya (dan sebagian besar nama pengguna saya) sekarang unik dan sangat kompleks, dan menggunakan kombo nama pengguna / kata sandi semudah CTRL+ ALT+ Ajika saya masuk ke KeePass.
ubiquibacon

Jawaban:

11

Jika penyerang dapat memperoleh akses ke hash kata sandi, seringkali sangat mudah untuk memaksa karena ia hanya memerlukan hashing kata sandi sampai hash cocok.

"Kekuatan" hash tergantung pada bagaimana kata sandi disimpan. Hash MD5 mungkin membutuhkan waktu lebih sedikit untuk menghasilkan kemudian hash SHA-512.

Windows yang digunakan untuk (dan mungkin masih, saya tidak tahu) menyimpan kata sandi dalam format hash LM, yang menebalkan kata sandi dan membaginya menjadi dua potongan 7 karakter yang kemudian hash. Jika Anda memiliki kata sandi 15 karakter, itu tidak masalah karena hanya menyimpan 14 karakter pertama, dan mudah untuk memaksa karena Anda tidak kasar memaksa kata sandi 14 karakter, Anda kasar memaksa dua kata sandi 7 karakter.

Jika Anda merasa perlu, unduh program seperti John The Ripper atau Cain & Abel (tautan dirahasiakan) dan ujilah.

Saya ingat bisa menghasilkan 200.000 hash per detik untuk hash LM. Bergantung pada bagaimana Truecrypt menyimpan hash, dan jika itu bisa diambil dari volume yang dikunci, itu bisa memakan waktu lebih atau kurang.

Serangan brute force sering digunakan ketika penyerang memiliki banyak hash yang harus dilalui. Setelah berjalan melalui kamus umum, mereka sering mulai membuang kata sandi dengan serangan brute force biasa. Kata sandi bernomor hingga sepuluh, simbol alfa dan numerik, simbol alfanumerik dan umum, simbol alfanumerik dan simbol diperluas. Tergantung pada tujuan serangan itu dapat mengarah dengan berbagai tingkat keberhasilan. Mencoba untuk berkompromi dengan keamanan satu akun pada khususnya seringkali bukan tujuannya.

Josh K.
sumber
Terima kasih atas jawaban ini. Saya seharusnya menyebutkan bahwa saya biasanya menggunakan RIPEMD-160 untuk fungsi hash. Dan untuk kata sandinya, dengan cara saya menghasilkannya seperti yang dijelaskan di atas itu adalah 218340105584896 kata sandi yang mungkin (26 + 26 + 10) ^ 8 (tetapi penyerang tidak tahu itu). Jadi saya hanya ingin tahu apakah kata sandi tersebut aman terhadap serangan brute-force yang masuk akal (saya tidak berbicara tentang keylogger, cryotricks atau kriptografi selang karet, hanya mengenai menebak kata kasar brute-force). Dan saya kebanyakan menggunakan TrueCrypt.
user31073
Hanya untuk mengklarifikasi, Anda menjawab pertanyaan saya, berdasarkan 200.000 untuk 218340105584896 kombinasi pada 1 simpul akan memakan waktu ~ 36 tahun, asalkan penyerang mengetahui panjang kata sandi. Ini juga yang diberikan kalkulator online kepada saya. Terima kasih!
user31073
Jika mungkin bagi mereka untuk mendapatkan hash maka ya mungkin untuk menjalankan serangan brute force. Apakah mereka berhasil atau tidak tergantung banyak pada seberapa banyak yang mereka ketahui tentang kata sandi dan berapa banyak waktu yang mereka miliki. Jawaban diperbarui.
Josh K
3
Ingatlah bahwa 36 tahun menjadi cepat jika Anda melakukan precastute hash menggunakan jaringan terdistribusi. Jika Anda menggunakan 1000 komputer, maka itu ke nomor yang dapat dikelola.
Rich Bradshaw
1
Juga baik untuk mengingatkan bahwa dengan menambah panjang kata sandi, kesulitannya akan sangat meningkat. Jika 8 kata sandi char membutuhkan waktu 36 tahun, dengan menggandakan panjangnya menjadi 16 karakter, waktu tidak berlipat ganda, tetapi melonjak hingga 7663387620052652 tahun. :)
Ilari Kajaste
4

Brute-Force bukanlah serangan yang layak , cukup banyak. Jika penyerang tidak tahu apa-apa tentang kata sandi Anda, ia tidak akan melakukannya dengan kasar pada sisi ini pada tahun 2020. Hal ini dapat berubah di masa mendatang, seiring dengan kemajuan perangkat keras (Sebagai contoh, seseorang dapat menggunakan semua namun banyak-nya-memiliki- sekarang core pada i7, secara besar-besaran mempercepat proses (Masih berbicara tahun, meskipun))

Jika Anda ingin mengamankan -super, tempelkan simbol extended-ascii di sana (Tahan alt, gunakan numpad untuk mengetikkan angka yang lebih besar dari 255). Melakukan itu cukup meyakinkan bahwa kekuatan kasar tidak berguna.

Anda harus khawatir tentang kelemahan potensial dalam algoritma enkripsi truecrypt, yang dapat membuat menemukan kata sandi jauh lebih mudah, dan tentu saja, kata sandi paling kompleks di dunia tidak berguna jika mesin yang Anda gunakan itu dikompromikan.

Phoshi
sumber
Meskipun memang benar bahwa serangan brute force jarang berhasil terhadap satu target, jika saya membuang basis data pengguna untuk situs web yang menggunakan MD5 untuk meng-hash kata sandi, saya dapat dengan mudah memuatnya dan menjalankan brute force melawan itu dengan batas 6 karakter, alfa +, angka, dan simbol. Saya tidak akan sukses 100%, tetapi saya akan dapat mengkompromikan sejumlah akun yang layak.
Josh K
Jika garamnya statis, tentu saja. Seharusnya tidak. Dan itu bukan benar - benar kekuatan kasar, juga, itu hanya mencari meja pelangi yang sudah dihitung sebelumnya. Ada alasan mengapa kita menggarami hash kita;)
Phoshi
Berapa banyak situs web yang memberi garam hash? Bukankah meja pelangi hanyalah serangan brute force yang dikompresi menjadi file? ;) Maksud saya adalah bahwa jika Anda memiliki 1000 pengguna dengan kata sandi, beberapa dari mereka pasti memiliki kata sandi seperti 12blue.
Josh K
Jika sebuah situs web tidak memberi garam hash mereka, mereka salah melakukannya. Meja pelangi hanya setiap nilai yang mungkin, jadi agak seperti kekuatan kasar yang sudah diperhitungkan, benar. | l2bluemasih tidak boleh bruteforcable dengan garam yang baik, dan itu masih akan memakan waktu lama untuk melewati itu. (2176782336 kemungkinan kombinasi, dengan asumsi penyerang tahu itu a-z0-9)
Phoshi
1
Merupakan ide yang buruk untuk menggunakan simbol extended-ascii, kecuali Anda cukup yakin itu akan diterima oleh database. Lebih sering daripada tidak saya mendapatkan kata sandi saya rusak dan sistem tidak dapat mencocokkannya dengan apa yang saya ketik pada login, bahkan jika itu persis sama. Ini terjadi karena unicode masih belum menjadi standar umum dan pengkodean teks diperlakukan dengan buruk di sebagian besar tempat.
cregox
2

Anda dapat menggunakan alat online ini untuk perkiraan http://lastbit.com/pswcalc.asp

Sebtm
sumber
Seberapa akurat situs itu?
Josh
1
@ Astaga; Sepertinya itu hanya matematika, jadi sangat akurat diberikan kata sandi yang benar / nilai kedua.
Phoshi
Tahu mengapa howsecureismypassword.net mengatakan hanya perlu 10 hari untuk memecahkan kata sandi ini?
sgmoore
1

EDIT: Orang lain telah memberikan jawaban yang baik untuk bagian dari pertanyaan Anda mengenai "Seberapa mudah untuk memecahkan kata sandi seperti itu dengan kekerasan? Ya, seberapa cepat"

Untuk menjawab bagian ini dari pertanyaan Anda:

Juga, apakah ada beberapa perangkat lunak untuk brute-force hack truecrypt karena saya ingin mencoba brute-force untuk memecahkan passsword saya sendiri untuk melihat berapa lama jika benar-benar "sangat mudah".

Berikut adalah berbagai opsi untuk bruteforcing Truecrypt

Ini satu lagi dari Universitas Princeton.

Josh
sumber
Ini tidak menjawab pertanyaannya tentang seberapa aman kata sandi singkatnya, dan sebagai gantinya menjabarkan berbagai serangan lain pada platform Truecrypt.
Josh K
@Josh K: Tidak, itu menjawab pertanyaannya, "Juga, apakah ada beberapa perangkat lunak untuk brute-force hack truecrypt karena saya ingin mencoba brute-force untuk memecahkan passsword saya sendiri untuk melihat berapa lama jika benar-benar begitu 'sangat mudah'."
Josh
1
@Joshes sekarang sekarang, jangan bertengkar satu sama lain! Anda berdua sebenarnya adalah orang yang sama, bukan?
cregox
Tidak, sebenarnya tidak.
Josh K
0

Kata sandi:

Ini adalah kata sandi yang sederhana namun panjang.

adalah sangat lebih tahan terhadap kekerasan, termasuk kamus serangan berbasis, dari:

sDvE98f1

Jadi menggunakan kata sandi yang pendek namun sulit hanya kontra-produktif. Lebih sulit untuk diingat dan kurang aman.

Gunakan frasa sederhana namun panjang.

Thomas Bonini
sumber
sumber?
hyperslug
@hper: matematika sekolah menengah sederhana?
Thomas Bonini
1
Randall memiliki visualisasi yang berguna tentang panjang vs kompleksitas: xkcd.com/936
Charles Lindsay
0

Tumpukan jerami GRC mengatakan akan memakan waktu 36,99 menit untuk memecahkan kata sandi Anda dalam serangan offline. https://www.grc.com/haystack.htm

xxl3ww
sumber