Wie unsicher ist mein kurzes Passwort wirklich?

17

Wenn ich mit Systemen wie TrueCrypt ein neues Passwort festlegen muss, werde ich häufig darauf hingewiesen, dass die Verwendung eines kurzen Passworts unsicher und "sehr einfach" ist.

Ich verwende immer Passwörter mit 8 Zeichen Länge, die nicht auf Wörterbuchwörtern basieren, die aus Zeichen aus der Menge AZ, az, 0-9 bestehen

Dh ich benutze ein Passwort wie sDvE98f1

Wie einfach ist es, ein solches Passwort mit Gewalt zu knacken? Dh wie schnell.

Ich weiß, dass es stark von der Hardware abhängt, aber vielleicht könnte mir jemand eine Schätzung geben, wie lange es dauern würde, dies auf einem Dual Core mit 2 GHz oder was auch immer zu tun, um einen Referenzrahmen für die Hardware zu haben.

Um ein solches Passwort briute-force anzugreifen, muss man nicht nur alle Kombinationen durchlaufen, sondern auch versuchen, mit jedem erratenen Passwort das Passwort zu entschlüsseln, was ebenfalls einige Zeit in Anspruch nimmt.

Gibt es auch eine Software, mit der ich TrueCrypt mit Brute-Force hacken kann, weil ich versuchen möchte, mein eigenes Passwort mit Brute-Force zu knacken, um zu sehen, wie lange es dauert, wenn es wirklich so "sehr einfach" ist.

security passwords truecrypt user31073
quelle
10
Nun, da Sie uns gesagt haben, dass Ihre Passwörter immer 8 Zeichen und keine Wörter aus dem Wörterbuch enthalten, haben Sie es viel einfacher gemacht ;-)
Josh
Verdammt! Ich hätte besser ein Wörterbuchwort nehmen sollen ... :)
user31073
Wenn Sie wirklich über Passwörter besorgt sind, versuchen Sie es mit KeePass . Mein Passwortmanagement hatte eine kritische Masse erreicht, dann veränderte KeePass mein Leben. Jetzt muss ich mir nur noch 2 Passwörter merken, eines, um mich an meinem Computer anzumelden, und eines, um mich an meiner KeePass-Datenbank anzumelden. Alle meine Passwörter (und die meisten meiner Benutzernamen) sind jetzt eindeutig und äußerst komplex. Die Verwendung einer Kombination aus Benutzername und Passwort ist so einfach wie CTRL+ ALT+, Awenn ich bei KeePass angemeldet bin.
Ubiquibacon

Antworten:

11

Wenn der Angreifer auf den Passwort-Hash zugreifen kann, ist es oft sehr einfach, ihn zu brachialisieren, da lediglich Hash-Passwörter erforderlich sind, bis die Hashes übereinstimmen.

Die Hash-Stärke hängt davon ab, wie das Passwort gespeichert wird. Ein MD5-Hash benötigt möglicherweise weniger Zeit, um einen SHA-512-Hash zu generieren.

Windows war es gewohnt (und kann es auch tun, ich weiß es nicht), Kennwörter in einem LM-Hash-Format zu speichern, bei dem das Kennwort in Großbuchstaben umgewandelt und in zwei 7-Zeichen-Blöcke aufgeteilt wurde, die dann gehasht wurden. Wenn Sie ein 15-stelliges Passwort hätten, wäre es egal, da es nur die ersten 14 Zeichen speichert, und es war leicht zu erzwingen, da Sie kein 14-stelliges Passwort erzwungen haben, sondern zwei 7-stellige Passwörter erzwungen haben.

Laden Sie bei Bedarf ein Programm wie John The Ripper oder Cain & Abel (Links vorenthalten) herunter und testen Sie es.

Ich erinnere mich, 200.000 Hashes pro Sekunde für einen LM-Hash erzeugen zu können. Abhängig davon, wie Truecrypt den Hash speichert und ob er von einem gesperrten Volume abgerufen werden kann, kann dies mehr oder weniger Zeit in Anspruch nehmen.

Brute-Force-Angriffe werden oft verwendet, wenn der Angreifer eine große Anzahl von Hashes zu durchlaufen hat. Nachdem sie ein gemeinsames Wörterbuch durchgearbeitet haben, beginnen sie häufig, Kennwörter mit gewöhnlichen Brute-Force-Angriffen auszusortieren. Nummerierte Passwörter bis zu zehn, erweiterte alphanumerische und numerische, alphanumerische und allgemeine Symbole, alphanumerische und erweiterte Symbole. Je nach Ziel des Angriffs kann es mit unterschiedlichen Erfolgsraten führen. Der Versuch, die Sicherheit eines bestimmten Kontos zu gefährden, ist oft nicht das Ziel.

Josh K
quelle
Danke für diese Antwort. Ich hätte erwähnen sollen, dass ich normalerweise RIPEMD-160 für die Hash-Funktion verwende. Und für das Passwort, mit der Art, wie ich es wie oben beschrieben generiere, ist das 218340105584896 mögliche Passwort (26 + 26 + 10) ^ 8 (aber der Angreifer weiß das nicht). Ich frage mich nur, ob solche Passwörter innerhalb des vorgegebenen Rahmens gegen Brute-Force-Angriffe sicher sind (ich spreche nicht von Keyloggern, Kryotricks oder Gummischlauch-Kryptografie, sondern nur von Brute-Force-Passwörtern). Und ich benutze hauptsächlich TrueCrypt.
user31073
Zur Verdeutlichung haben Sie meine Frage beantwortet, basierend auf 200.000 für 218340105584896 Kombinationen auf 1 Knoten, was ~ 36 Jahre dauern würde, vorausgesetzt, der Angreifer kennt die Kennwortlänge. Das gibt mir auch der Online-Rechner. Vielen Dank!
user31073
Wenn es ihnen möglich ist, den Hash zu erhalten, ist es möglich, einen Brute-Force-Angriff durchzuführen. Ob sie erfolgreich sind oder nicht, hängt stark davon ab, wie viel sie über das Passwort wissen und wie viel Zeit sie haben. Antwort aktualisiert.
Josh K
3
Denken Sie daran, dass 36 Jahre schnell vergehen, wenn Sie die Hashes in einem verteilten Netzwerk vorberechnen. Wenn Sie 1000 Computer verwenden, liegt das an einer überschaubaren Zahl.
Rich - Bradshaw
1
Es ist auch gut daran zu erinnern, dass durch Erhöhen der Kennwortlänge die Schwierigkeit immens zunimmt. Wenn das Kennwort mit 8 Zeichen 36 Jahre dauert, wird die Zeit durch Verdoppeln der Länge auf 16 Zeichen nicht verdoppelt, sondern springt auf 7663387620052652 Jahre. :)
Ilari Kajaste
4

Brute-Force ist so gut wie nie ein tragfähiger Angriff . Wenn der Angreifer nichts über Ihr Kennwort weiß, wird er es auf dieser Seite des Jahres 2020 nicht mit brachialer Gewalt erhalten. Dies kann sich in Zukunft ändern, wenn die Hardware weiterentwickelt wird. Jetzt Kerne auf einem i7, was den Prozess massiv beschleunigt

Wenn Sie supersicher sein möchten, kleben Sie ein erweitertes ASCII-Symbol in das Feld (halten Sie die Alt-Taste gedrückt und geben Sie mit dem Nummernblock eine Zahl ein, die größer als 255 ist). Wenn Sie das tun, können Sie sicher sein, dass eine einfache Brute-Force unbrauchbar ist.

Sie sollten sich über mögliche Fehler im Verschlüsselungsalgorithmus von truecrypt Gedanken machen, die das Auffinden eines Kennworts erheblich erleichtern könnten. Natürlich ist das komplexeste Kennwort der Welt unbrauchbar, wenn die Maschine, auf der Sie es verwenden, kompromittiert wird.

Phoshi
quelle
Zwar sind Brute-Force-Angriffe gegen ein einzelnes Ziel selten erfolgreich, aber wenn ich die Benutzerdatenbank für eine Website sichern würde, auf der die Passwörter mit MD5 gehasht werden, könnte ich sie problemlos laden und eine Brute-Force mit einem Limit von ausführen 6 Zeichen, alphanumerische Zeichen und Symbole. Ich hätte keinen hundertprozentigen Erfolg, aber ich wäre in der Lage, eine anständige Anzahl von Konten zu kompromittieren.
Josh K
Wenn das Salz statisch war, sicher. Das sollte nicht sein. Und das ist auch nicht wirklich brachial, es sucht nur gegen einen vorberechneten Regenbogentisch. Es gibt einen Grund, warum wir unseren
Hasch salzen
Wie viele Websites salzen die Hashes? Ist ein Regenbogentisch nicht einfach ein Brute-Force-Angriff, der in eine Datei komprimiert wird? ;) Mein Punkt ist, dass, wenn Sie 1000 Benutzer mit Passwörtern haben, einige von ihnen verpflichtet sind, Passwörter wie zu haben 12blue.
Josh K
Wenn eine Website ihren Hash nicht salzt, machen sie es falsch. Eine Regenbogentabelle ist einfach jeder mögliche Wert, also quasi wie eine vorberechnete Brute-Force, wahr. | l2bluesollte immer noch nicht mit einem guten Salz brachial sein, und es würde immer noch eine gute lange Zeit dauern, um das durchzuarbeiten. (2176782336 mögliche Kombinationen, vorausgesetzt der Angreifer weiß, dass es a-z0-9 ist)
Phoshi
1
Es ist keine gute Idee, erweiterte ASCII-Symbole zu verwenden, es sei denn, Sie sind sich ziemlich sicher, dass sie von der Datenbank akzeptiert werden. In den meisten Fällen wurde mein Passwort beschädigt, und das System konnte es nicht mit dem übereinstimmen, was ich beim Anmelden eingebe, auch wenn es genau das gleiche ist. Dies ist darauf zurückzuführen, dass Unicode immer noch kein allgemeiner Standard ist und die Textcodierung an den meisten Stellen schlecht behandelt wird.
Cregox
2

Sie können dieses Online-Tool für eine Schätzung http://lastbit.com/pswcalc.asp verwenden

Sebtm
quelle
Wie genau ist diese Seite?
Josh am
1
@Josh; Sieht so aus, als würde es nur rechnen, also bei einem korrekten Passwort- / Sekundenwert vollkommen genau.
Phoshi
Irgendeine Idee, warum howsecureismypassword.net sagt, dass es nur 10 Tage dauert, um dieses Passwort zu knacken ?
Sgmoore
1

EDIT: Andere haben gute Antworten auf den Teil Ihrer Frage gegeben: "Wie einfach ist es, ein solches Passwort mit brachialer Gewalt zu knacken? Dh wie schnell?"

Um diesen Teil Ihrer Frage zu beantworten:

Gibt es auch eine Software, mit der ich TrueCrypt mit Brute-Force hacken kann, weil ich versuchen möchte, mein eigenes Passwort mit Brute-Force zu knacken, um zu sehen, wie lange es dauert, wenn es wirklich so "sehr einfach" ist.

Hier finden Sie eine Vielzahl von Optionen, um Truecrypt brutal zu erzwingen

Hier ist noch einer von der Princeton University.

Josh
quelle
Dies beantwortet nicht seine Frage, wie sicher sein kurzes Passwort ist, sondern zeigt verschiedene andere Angriffe auf die Truecrypt-Plattform auf.
Josh K
@Josh K: Nein, es beantwortet seine Frage: "Gibt es auch eine Software, mit der ich TrueCrypt brute-force hacken kann? einfach'."
Josh am
1
@Joshes jetzt, kämpfe nicht gegeneinander! Sie sind doch eigentlich beide die gleiche Person, oder?
Cregox
Nein, eigentlich sind wir nicht.
Josh K
0

Das Passwort:

Dies ist ein einfaches, aber langes Passwort.

ist sehr resistent gegen Brute - Force, Wörterbuch - basierte Angriffe , einschließlich, als:

sDvE98f1

Die Verwendung eines kurzen, aber schwierigen Passworts ist also nur kontraproduktiv. Es ist schwieriger zu merken und weniger sicher.

Verwenden Sie eine einfache, aber lange Phrase.

Thomas Bonini
quelle
Quelle?
Hyperslug
@hyper: einfache Gymnasialmathematik?
Thomas Bonini
1
Randall hat eine nützliche Visualisierung über Länge und Komplexität: xkcd.com/936
Charles Lindsay
0

GRCs Heuhaufen sagte, es würde 36,99 Minuten dauern, um Ihr Passwort bei einem Offline-Angriff zu knacken. https://www.grc.com/haystack.htm

xxl3ww
quelle