Connect with us

Wie man

Sind kurze Passwörter wirklich so unsicher?

Sind kurze Passwörter wirklich so unsicher?

Sie kennen die Übung: Verwenden Sie ein langes und abwechslungsreiches Passwort, verwenden Sie nicht dasselbe Passwort zweimal, verwenden Sie für jede Site ein anderes Passwort. Ist ein kurzes Passwort wirklich so gefährlich?

Die Frage

SuperUser-Leser user31073 ist neugierig, ob er diese Kurzpasswort-Warnungen wirklich beachten sollte:

Bei Systemen wie TrueCrypt werde ich bei der Definition eines neuen Passworts oft darauf hingewiesen, dass die Verwendung eines kurzen Passworts unsicher und „sehr leicht“ durch Brute-Force zu knacken sei.

Ich verwende immer Passwörter von 8 Zeichen Länge, die nicht auf Wörterbuchwörtern basieren, die aus Zeichen aus dem Satz AZ, az, 0-9 . bestehen

Dh ich verwende ein Passwort wie sDvE98f1

Wie einfach ist es, ein solches Passwort per Brute-Force zu knacken? Dh wie schnell.

Ich weiß, es hängt stark von der Hardware ab, aber vielleicht kann mir jemand eine Schätzung geben, wie lange es dauern würde, dies auf einem Dual-Core mit 2 GHz oder was auch immer zu tun, um einen Referenzrahmen für die Hardware zu haben.

Um ein solches Passwort per Brute-Force anzugreifen, muss man nicht nur alle Kombinationen durchlaufen, sondern auch versuchen, jedes erratene Passwort zu entschlüsseln, was auch einige Zeit in Anspruch nimmt.

Gibt es auch eine Software zum Brute-Force-Hacken von TrueCrypt, weil ich versuchen möchte, mein eigenes Passwort mit Brute-Force zu knacken, um zu sehen, wie lange es dauert, wenn es wirklich so „sehr einfach“ ist.

Sind kurze Passwörter mit zufälligen Zeichen wirklich gefährdet?

Die Antwort

SuperUser-Mitwirkender Josh K. hebt hervor, was der Angreifer brauchen würde:

Wenn sich der Angreifer Zugriff auf den Passwort-Hash verschaffen kann, ist Brute-Force oft sehr einfach, da die Passwörter einfach so lange gehasht werden, bis die Hashes übereinstimmen.

Die Hash-„Stärke“ hängt davon ab, wie das Passwort gespeichert wird. Ein MD5-Hash benötigt möglicherweise weniger Zeit zum Generieren als ein SHA-512-Hash.

Windows hat früher (und kann es immer noch, ich weiß es nicht) Passwörter in einem LM-Hash-Format gespeichert, das das Passwort in Großbuchstaben geschrieben und in zwei 7-Zeichen-Blöcke aufgeteilt hat, die dann gehasht wurden. Wenn Sie ein 15-stelliges Passwort hätten, wäre es egal, weil es nur die ersten 14 Zeichen speicherte, und es war einfach, Brute-Force zu machen, weil Sie kein 14-stelliges Passwort brutal erzwangen, sondern zwei 7-stellige Passwörter.

Wenn Sie das Bedürfnis verspüren, laden Sie ein Programm wie John The Ripper oder Cain & Abel (Links zurückgehalten) herunter und testen Sie es.

Ich erinnere mich, dass ich 200.000 Hashes pro Sekunde für einen LM-Hash generieren konnte. Je nachdem, wie Truecrypt den Hash speichert und ob er von einem gesperrten Volume abgerufen werden kann, kann dies mehr oder weniger Zeit in Anspruch nehmen.

Brute-Force-Angriffe werden häufig verwendet, wenn der Angreifer eine große Anzahl von Hashes durchlaufen muss. Nachdem sie ein gemeinsames Wörterbuch durchgearbeitet haben, fangen sie oft an, Passwörter mit üblichen Brute-Force-Angriffen auszusortieren. Nummerierte Passwörter bis zu zehn, erweiterte alphanumerische und numerische, alphanumerische und allgemeine Symbole, alphanumerische und erweiterte Symbole. Je nach Ziel des Angriffs kann dieser mit unterschiedlichen Erfolgsraten führen. Der Versuch, insbesondere die Sicherheit eines Kontos zu kompromittieren, ist oft nicht das Ziel.

Ein weiterer Mitwirkender, Phoshi, erweitert die Idee:

Brute-Force ist kein brauchbarer Angriff, so ziemlich immer. Wenn der Angreifer nichts über Ihr Passwort weiß, bekommt er es dieses Jahr 2020 nicht durch Brute-Force. Dies kann sich in Zukunft mit der Weiterentwicklung der Hardware ändern (z. jetzt Kerne auf einem i7, was den Prozess massiv beschleunigt (wir reden aber immer noch Jahre))

Wenn Sie -super- sicher sein möchten, kleben Sie dort ein erweitertes ASCII-Symbol ein (Halten Sie die Alt-Taste gedrückt, verwenden Sie den Ziffernblock, um eine Zahl größer als 255 einzugeben). Dadurch ist ziemlich sicher, dass eine einfache Brute-Force nutzlos ist.

Sie sollten sich Sorgen über mögliche Fehler im Verschlüsselungsalgorithmus von truecrypt machen, die das Auffinden eines Passworts erheblich erleichtern könnten, und natürlich ist das komplexeste Passwort der Welt nutzlos, wenn der Computer, auf dem Sie es verwenden, kompromittiert ist.

Wir würden Phoshis Antwort mit Anmerkungen versehen: „Brute-Force ist kein praktikabler Angriff, wenn eine ausgeklügelte Verschlüsselung der aktuellen Generation verwendet wird, so gut wie nie“.

Wie wir in unserem kürzlich erschienenen Artikel Brute-Force Attacks Explained: How All Encryption is Vulnerable, Verschlüsselungsschemas Alter und Hardware-Leistung hervorgehoben haben, ist es nur eine Frage der Zeit, bis ein früher hartes Ziel (wie der NTLM-Passwort-Verschlüsselungsalgorithmus von Microsoft) erreicht wird. ist in wenigen Stunden besiegbar.

Möchten Sie der Erklärung noch etwas hinzufügen? Ton in den Kommentaren ab. Möchten Sie mehr Antworten von anderen technisch versierten Stack Exchange-Benutzern lesen? Sehen Sie sich hier den vollständigen Diskussionsthread an.

Continue Reading
Click to comment

Leave a Reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Tendencia