La pregunta

El lector de SuperUser user31073 és curiós de si realment hauria de tenir en compte les advertències de contrasenya:

Utilitzant sistemes com TrueCrypt, quan he de definir una nova contrasenya, sovint se m’informa que l’ús d’una contrasenya breu és insegur i “molt fàcil” per trencar amb força bruta. Sempre faig contrasenyes de 8 caràcters de longitud, que no es basen en paraules de diccionari, que consisteix en caràcters del conjunt AZ, az, 0-9 És a dir, faig servir contrasenya com sDvE98f1 Què tan fàcil és trencar aquesta contrasenya per bruta- força? És a dir, que ràpid. Sé que depèn molt del maquinari, però potser algú em podria fer una estimació quant trigués a fer-ho en un nucli dual amb 2GHZ o qualsevol altra cosa per tenir un marc de referència per al maquinari. Per atacar a la força bruta aquesta contrasenya, no només cal recórrer totes les combinacions, sinó també intentar desxifrar amb cada contrasenya endevinada, que també necessita temps. A més, hi ha algun programari per combatre la força bruta TrueCrypt perquè vull intentar brute-force crack la meva pròpia contrasenya per veure el temps que triga si realment és "molt fàcil".

Són realment en risc les contrasenyes curtes de caràcter aleatori?

La resposta

El col·laborador del SuperUser, Josh K., destaca el que necessitaria l’atacant:

Si l'atacant pot accedir al hash de la contrasenya, sovint és molt fàcil fer brutes amb força, ja que només comporta contrasenyes hash fins que coincideixin els hashes. La força "hash" depèn de com es guardi la contrasenya. Un hash MD5 pot trigar menys temps a generar un hash SHA-512. El Windows solia (i potser encara no ho sé) emmagatzemar contrasenyes en format de hash LM, que majúscula la contrasenya i la dividia en dos trossos de 7 caràcters que després eren rentats. Si tinguéssiu una contrasenya de 15 caràcters, no importaria perquè només emmagatzemava els primers 14 caràcters, i era fàcil fer bruta la força perquè no forçàveu forçar una contrasenya de 14 caràcters, vareu forçar dues contrasenyes de 7 caràcters. Si teniu la necessitat, descarregueu un programa com John The Ripper o Cain & Abel (enllaços retenits) i proveu-lo. Recordo ser capaç de generar 200.000 hashes per segon per un hash LM. En funció de com Truecrypt emmagatzema el hash i si es pot recuperar d’un volum bloquejat, es pot trigar més o menys temps. Sovint s’utilitzen atacs de força bruta quan l’atacant té un gran nombre de hashes per passar. Després d’executar un diccionari comú, sovint començaran a eliminar les contrasenyes amb atacs de força bruta comuns. Contrasenyes numerades fins a deu, alfa estesa i símbols numèrics, alfanumèrics i comuns, alfanumèrics i símbols estesos. Depenent de l'objectiu de l'atac, pot conduir amb diverses taxes d'èxit. Sovint no és l’objectiu d’intentar comprometre la seguretat d’un compte en particular.

Un altre col·laborador, Phoshi, expandeix la idea:

Brute-Force no és un atac viable, gairebé mai. Si l’atacant no sap res de la vostra contrasenya, no s’aconseguirà amb la força bruta d’aquest costat del 2020. Això pot canviar en el futur, a mesura que avanci el maquinari (per exemple, es podrien fer servir tots els que, tanmateix, molts ho tenen) ara es basa en un i7, accelerant massivament el procés (encara parlant anys, però). Si voleu ser -super- segur, enganxeu allà un símbol estès-ascii (Manteniu alt, utilitzeu el numpad per escriure un nombre més gran. de 255). Fer això pràcticament garanteix que una força bruta simple no serveix per a res. Hauríeu d’estar preocupat pels possibles defectes de l’algoritme de xifratge de Truecrypt, que podria fer molt més fàcil trobar una contrasenya i, per descomptat, la contrasenya més complexa del món és inútil si la màquina que la feu servir està compromesa.

Anotaríem la resposta de Phoshi al llegir "Força bruta no és un atac viable, quan s'utilitza el xifrat sofisticat de generació actual, gairebé mai".

Tal com hem destacat en el nostre recent article, Brute-Force Attacks Explified: How All Encryption is Vulnerable, the Skymption encryption age and power hardware Hardware augmenta, per la qual cosa només hauria de ser qüestió de temps abans del que era un objectiu dur (com l’algorisme de xifrat de contrasenyes NTLM de Microsoft) és derrotable en qüestió d’hores.

Té alguna cosa a afegir a l’explicació? So en els comentaris. Voleu llegir més respostes d'altres usuaris de tecnologia basada en tecnologia Stack Exchange? Consulteu aquí el fil complet de discussió.