Le password brevi sono davvero insicure?
Conoscete il trapano: usate una password lunga e varia, non usate la stessa password due volte, usate una password diversa per ogni sito. Usare una password breve è davvero pericoloso?
La sessione di domande e risposte di oggi ci viene fornita per gentile concessione di SuperUser, una suddivisione di Stack Exchange, un raggruppamento di siti Web di domande e risposte basato sulla comunità.
La domanda
Il lettore SuperUser user31073 è curioso di sapere se dovrebbe prestare attenzione agli avvertimenti relativi alla password breve:
Utilizzando sistemi come TrueCrypt, quando devo definire una nuova password, mi viene spesso comunicato che l'uso di una password corta non è sicuro e "molto facile" da interrompere con la forza bruta.
Io uso sempre password di lunghezza pari a 8 caratteri, che non sono basate su parole del dizionario, che consistono in caratteri del set A-Z, a-z, 0-9
Cioè Io uso la password come sDvE98f1
Quanto è facile rompere tale password con la forza bruta? Cioè quanto velocemente.
So che dipende molto dall'hardware ma forse qualcuno potrebbe darmi una stima di quanto tempo ci vorrebbe per farlo su un dual core con 2GHZ o qualsiasi altra cosa per avere un frame di riferimento per l'hardware.
Per attaccare con forza bruta una password di questo tipo non è necessario solo scorrere tutte le combinazioni, ma anche provare a decifrare con ogni password indovinata che richiede anche un po 'di tempo.
Inoltre, c'è un software per la codifica TrueCrypt, perché voglio provare a forzare brute-force la mia password per vedere quanto tempo ci vuole se è davvero così "molto facile".
Le password brevi a caratteri casuali sono davvero a rischio?
La risposta
Il collaboratore SuperUser Josh K. mette in evidenza ciò di cui l'aggressore avrebbe bisogno:
Se l'utente malintenzionato può accedere all'hash della password, è spesso molto facile eseguire la forza bruta poiché implica semplicemente password di hashing finché l'hash non coincide.
La "forza" dell'hash dipende da come viene memorizzata la password. Un hash MD5 potrebbe impiegare meno tempo per generare un hash SHA-512.
Windows era solito (e potrebbe ancora, non so) memorizzare le password in un formato hash LM, che ha scalzato la password e divisa in due blocchi di 7 caratteri che sono stati poi sottoposti a hash. Se avessi una password di 15 caratteri non sarebbe importante perché memorizzava solo i primi 14 caratteri, ed era facile da usare per forza bruta perché non stavi forzando una password di 14 caratteri, sei stato brutale costringendo due password di 7 caratteri.
Se ne senti la necessità, scarica un programma come John The Ripper o Cain & Abel (i link non sono stati salvati) e testalo.
Ricordo di essere riuscito a generare 200.000 hash al secondo per un hash LM. A seconda di come Truecrypt memorizza l'hash, e se può essere recuperato da un volume bloccato, potrebbe richiedere più o meno tempo.
Gli attacchi di forza bruta sono spesso usati quando l'attaccante ha un numero elevato di hash da attraversare. Dopo aver eseguito un dizionario comune, spesso inizieranno a strappare le password con attacchi di forza bruta comuni. Password numerate fino a dieci, simboli alfa numerici, alfanumerici e comuni, simboli alfanumerici e estesi. A seconda dell'obiettivo dell'attacco, può portare a diverse percentuali di successo. Il tentativo di compromettere la sicurezza di un account in particolare spesso non è l'obiettivo.
Un altro contributore, Phoshi espande l'idea:
Brute-Force non è un attacco praticabile, praticamente mai Se l'utente malintenzionato non sa nulla della tua password, non riuscirà a sfruttare questa forza bruta da questa parte del 2020. Ciò potrebbe cambiare in futuro, con l'avanzare dell'hardware (ad esempio, si potrebbe usare tutto, tuttavia, molti-ha-ha- ora si basa su un i7, velocizzando enormemente il processo (ancora parlando di anni, però))
Se si desidera essere -super-secure, inserire un simbolo ASCII esteso (tenere premuto alt, utilizzare il tastierino numerico per digitare un numero maggiore di 255). Fare ciò assicura praticamente che una semplice forza bruta è inutile.
Dovresti preoccuparti dei potenziali difetti nell'algoritmo di crittografia di TrueCrypt, che potrebbe rendere la ricerca di una password molto più semplice e, naturalmente, la password più complessa del mondo è inutile se la macchina su cui stai utilizzando è compromessa.
Annunceremo la risposta di Phoshi alla lettura "La forza bruta non è un attacco praticabile, quando si utilizza la sofisticata crittografia della generazione attuale, praticamente mai".
Come evidenziato nel nostro recente articolo, Spiega attacchi Brute-Force: Come tutta la crittografia è vulnerabile, gli schemi di crittografia invecchiano e aumenta la potenza dell'hardware quindi è solo una questione di tempo prima di quello che era un obiettivo difficile (come l'algoritmo di crittografia password NTLM di Microsoft) è deforestabile in poche ore.
Hai qualcosa da aggiungere alla spiegazione? Sound off nei commenti. Vuoi leggere più risposte dagli altri utenti di Stack Exchange esperti di tecnologia? Controlla la discussione completa qui.