Startpagina » hoe » Zijn korte wachtwoorden echt zo onzeker?

    Zijn korte wachtwoorden echt zo onzeker?


    U kent de oefening: gebruik een lang en gevarieerd wachtwoord, gebruik niet tweemaal hetzelfde wachtwoord, gebruik voor elke site een ander wachtwoord. Is het gebruik van een kort wachtwoord echt zo gevaarlijk??
    De Question & Answer-sessie van vandaag komt tot ons dankzij SuperUser - een onderdeel van Stack Exchange, een gemeenschapsgedreven groep van Q & A-websites.

    De vraag

    SuperUser-lezer user31073 is benieuwd of hij die waarschuwingen met een kort wachtwoord echt in de gaten moet houden:

    Met behulp van systemen zoals TrueCrypt, wanneer ik een nieuw wachtwoord moet definiëren, word ik vaak geïnformeerd dat het gebruik van een kort wachtwoord onveilig is en "zeer gemakkelijk" te breken door brute kracht.

    Ik gebruik altijd wachtwoorden van 8 tekens lang, die niet zijn gebaseerd op woordenboekwoorden, die bestaan ​​uit tekens uit de set A-Z, a-z, 0-9

    D.w.z. Ik gebruik een wachtwoord zoals sDvE98f1

    Hoe gemakkelijk is het om zo'n wachtwoord met brute kracht te kraken? D.w.z. hoe snel.

    Ik weet dat het sterk afhankelijk is van de hardware, maar misschien kan iemand me een schatting geven hoe lang het zou duren om dit te doen op een dual-core met 2GHZ of wat dan ook om een ​​referentiekader voor de hardware te hebben.

    Om zo'n wachtwoord brute kracht aan te vallen, moet je niet alleen alle combinaties doorlopen, maar ook proberen te decoderen met elk geraden wachtwoord dat ook enige tijd nodig heeft.

    Ook is er wat software om TrueCrypt met brute-force te hacken, omdat ik wil proberen om mijn eigen wachtwoord brute-force te kraken om te zien hoe lang het duurt, als het echt "heel gemakkelijk" is.

    Zijn korte wachtwoorden van willekeurige tekens echt in gevaar?

    Het antwoord

    SuperUser-bijdrager Josh K. belicht wat de aanvaller nodig heeft:

    Als de aanvaller toegang heeft tot de wachtwoordhash, is het vaak erg gemakkelijk om brute kracht toe te passen, omdat het hashing-wachtwoorden met zich meebrengt totdat de hashes overeenkomen.

    De hash "sterkte" is afhankelijk van hoe het wachtwoord wordt opgeslagen. Een MD5-hash kan minder tijd kosten om vervolgens een SHA-512-hash te genereren.

    Vroeger bewaarde Windows (en misschien weet ik het nog niet) wachtwoorden in een LM-hash-indeling, waarbij het wachtwoord werd ingekort en opgesplitst in twee brokken van 7 tekens die vervolgens werden gehasht. Als je een wachtwoord van 15 tekens had, zou het er niet toe doen, omdat het alleen de eerste 14 tekens opsloeg, en het was gemakkelijk om brute kracht te gebruiken omdat je niet een wachtwoord van 14 tekens bruut dwong, je was bruut dwingend twee 7 karakter wachtwoorden.

    Als je de behoefte hebt, download dan een programma zoals John The Ripper of Cain & Abel (links ingehouden) en test het.

    Ik herinner me dat ik 200.000 hashes per seconde kon genereren voor een LM-hash. Afhankelijk van hoe Truecrypt de hash opslaat, en als het kan worden opgehaald uit een vergrendeld volume, kan het meer of minder tijd kosten.

    Aanvallen met brute kracht worden vaak gebruikt wanneer de aanvaller een groot aantal hashes heeft om doorheen te gaan. Na het doorlopen van een gewoon woordenboek zullen ze vaak beginnen met het wieden van wachtwoorden met gewone brute force-aanvallen. Genummerde wachtwoorden tot tien, uitgebreide alfanumerieke, alfanumerieke en algemene symbolen, alfanumerieke en uitgebreide symbolen. Afhankelijk van het doel van de aanval kan dit leiden met verschillende succespercentages. Poging om de beveiliging van één account in het bijzonder in gevaar te brengen, is vaak niet het doel.

    Een andere bijdrager, Phoshi, gaat verder met het idee:

    Brute-Force is geen levensvatbare aanval, vrijwel altijd. Als de aanvaller niets weet over uw wachtwoord, krijgt hij deze kant van 2020 niet brutaal te verwerken. Dit kan in de toekomst veranderen naarmate de hardware vordert (u kunt bijvoorbeeld alles gebruiken - veel - het - heeft - nu cores op een i7, massaal versnellen het proces (nog steeds praten jaar, hoewel))

    Als je -super- veilig wilt zijn, plak dan een extended-ascii-symbool daarin (houd alt ingedrukt, gebruik het numpad om een ​​getal groter dan 255 in te typen). Door dat te doen, weet je vrijwel zeker dat een gewone brute kracht nutteloos is.

    Je zou je zorgen moeten maken over mogelijke tekortkomingen in het coderingsalgoritme van truecrypt, wat het vinden van een wachtwoord veel gemakkelijker zou kunnen maken, en natuurlijk is het meest complexe wachtwoord ter wereld nutteloos als de machine waar je het gebruikt in gevaar wordt gebracht.

    We zouden het antwoord van Phoshi als volgt aangeven: "Brute-force is geen levensvatbare aanval, bij het gebruik van geavanceerde huidige generatie-encryptie, vrijwel nooit".

    Zoals we in ons recente artikel hebben benadrukt, leggen Brute-Force Attacks Explained uit: Hoe alle encryptie kwetsbaar is, versleutelingsschema's ouderdom en hardwarevermogen toenemen, dus het is slechts een kwestie van tijd voor wat vroeger een moeilijk doelwit was (zoals Microsoft's NTLM-wachtwoordversleutelingsalgoritme) is binnen een paar uur te verslaan.


    Heb je iets toe te voegen aan de uitleg? Geluid uit in de reacties. Wilt u meer antwoorden van andere technisch onderlegde Stack Exchange-gebruikers lezen? Bekijk hier de volledige discussiethread.