Ich habe kürzlich eine Empfehlung erhalten, mein Passwort auf über 20 Zeichen zu setzen. Der für die Verschlüsselung verwendete Algorithmus ist AES mit einem 256-Bit-Primärschlüssel. Wie sicher ist ein 8-Zeichen-Passwort gegen Brute-Force-Angriffe zum Entschlüsseln verschlüsselter Dateien?
Ich weiß, dass dies auf den meisten Websites als gute Passwortgröße angesehen wird. Ein Grund dafür ist, dass sie einen Angriff nach etwa 3 Versuchen stoppen können.
Vielleicht möchten Sie in diesem Blog-Beitrag von Bruce Schneier darauf hinweisen, wer diese Richtlinie geschrieben hat .
Es ist eine gute Beschreibung, warum die Stärke von Passwörtern das geringste Problem im Web ist.
quelle
Schauen Sie sich die akzeptierte Antwort in diesem Beitrag an . Zeigt, dass selbst das Knacken eines 8-stelligen Passworts mit allen Zeichen ~ 10.000 Jahre dauern kann!
quelle
Wenn Sie die Verwendung von Regenbogentabellen als Brute Force betrachten (Meinungen variieren), beträgt die Verwendung von Regenbogentabellen, die alle Zeichen im Kennwort enthalten, für 8 Zeichen etwa 10 Sekunden. 20-stelliges Passwort (gleiche Zeichen, gleiche Regenbogentabellen), weniger als 30 Sekunden. Der Haken ist, dass das Generieren der Tabellen lange dauert . Meins brauchte ungefähr einen Monat, um auf einer 3-GHz-Maschine nur nachts zu verarbeiten. Auf der anderen Seite müssen Sie das nur einmal tun.
Das Problem, sich lange Passwörter zu merken, lässt sich leicht durch eine Kombination aus Zeichensubstitution und Verwendung einer Phrase lösen. Selbst etwas so Einfaches wie ein "# Fr3ddy M3rcury #" ist für die meisten Anwendungen komplex genug, aber bemerkenswert leicht zu merken.
quelle
Beachten Sie, dass ein achtstelliges Passwort möglicherweise gespeichert wird. Ein 20-stelliges Passwort wird notiert.
Und dann kann es jemand lesen.
quelle
Der Artikel " Passwörter vs Passphrasen " könnte Sie interessieren . Ihre Schlussfolgerung ist, dass ein 9-stelliges, völlig zufälliges Passwort ungefähr einer 6-Wort-Passphrase entspricht. Sie sind jedoch der Meinung, dass eine Phrase mit 6 Wörtern leichter zu merken ist.
quelle
Es hängt alles von den Zeichen ab, die Sie verwenden, da dies die Anzahl Ihrer Kombinationen ändert. Angenommen, 8 Zeichen:
Wörterbuchwort:
Kleinbuchstaben: 26 8 oder 208827064576
Klein- und Großbuchstaben: 52 8 oder 53459728531456
Untere, obere und Zahlen: 62 8 oder 218340105584896
Fügen Sie Interpunktion und andere Symbole hinzu, und das brutale Erzwingen wird einige Zeit dauern.
Diese Zahlen sind die Gesamtkombinationen, die ausprobiert werden müssen. Offensichtlich wird ein Hacker nicht jede Kombination ausprobieren, nachdem er das Passwort erhalten hat. Teilen Sie also durch zwei, um die durchschnittliche Anzahl der erforderlichen Kombinationen zu erhalten.
Härtere Hashes führen zu einer längeren CPU-Zeit für die Berechnung des Hashs, sodass die Gesamtzeit länger ist. Ein Beispiel von John:
Natürlich ist das alles völlig akademisch, da Hacker einfach Ihre Sekretärin anrufen und ihnen mitteilen, dass sie aus der IT stammen und ihr Passwort für etwas benötigen und Ihr sicheres Passwort wertlos ist.
quelle
Ich benutze nicht triviale Passphrasen zum Schutz
Ich bin weniger besorgt über mein Google Mail-Konto, da Brute-Force-Versuche, dieses Kennwort zu knacken, das Konto einfach sperren (und jeder, der Zugriff auf den Server hat, den Hash einfach durch einen seiner Wahl ersetzt und nicht versucht, ihn zu knacken).
Die beste Passphrase ist lang (> 12 Zeichen) und kryptografisch zufällig. Diese sind jedoch schwieriger zu merken. Eine Passphrase, die mehrere Wörter mit scheinbar zufälligen Zeichen kombiniert, könnte ein guter Kompromiss sein (möglicherweise die ersten 1 oder 2 Buchstaben der ersten paar Zeilen Ihres Lieblingsliedtextes).
quelle
Es gibt die Sicherheit, die Sie durch die Kommunikation von Client / Server erhalten, z. B. wie Sie sagten, wenn Sie Angreifer nach drei Versuchen stoppen können (wenn sie über das Netzwerk angreifen, wie bei Webanwendungen). In diesem Szenario kann fast jede Länge des Passworts als ausreichend angesehen werden.
Wenn jedoch ein Insider diese Datenbank mit gehashten kurzen Passwörtern greift und die Beschränkung "über das Netz" von 3 Versuchen umgehen kann, ändert sich das Spiel.
Die Einschränkung bei der Begrenzung der Anzahl der Versuche pro Konto besteht darin, dass dies nur für gezielte Versuche auf einem bestimmten Konto ausreicht. Sie müssen sich auch mit einem bestimmten (oder permutierten) Kennwort vor Angriffen auf alle Konten schützen. Dies löst keinen Alarm aus, wenn Sie nur die Anzahl der Versuche pro Konto begrenzen. Angesichts des heutigen NAT und der Botnets kann man nicht einmal behaupten, dass die Begrenzung der Anzahl der Versuche pro IP eine gute Denkweise für Sicherheit ist.
Gute Ressourcen zum Lesen wurden bereits in anderen Antworten angegeben.
quelle