Quão insegura é minha senha curta realmente?

17

Utilizando sistemas como o TrueCrypt, quando preciso definir uma nova senha, sou frequentemente informado de que o uso de uma senha curta é inseguro e "muito fácil" de quebrar com força bruta.

Eu sempre uso senhas de 8 caracteres, que não são baseadas em palavras do dicionário, que consistem em caracteres do conjunto AZ, az, 0-9

Ou seja, eu uso a senha como sDvE98f1

Quão fácil é quebrar essa senha por força bruta? Ou seja, quão rápido.

Eu sei que depende muito do hardware, mas talvez alguém possa me dar uma estimativa de quanto tempo levaria para fazer isso em um núcleo dual com 2GHZ ou qualquer outra coisa para ter um quadro de referência para o hardware.

Para atacar com força bruta tal senha, é necessário não apenas percorrer todas as combinações, mas também tentar descriptografar com cada senha adivinhada que também precisa de algum tempo.

Além disso, existe algum software para cortar brutalmente o truecrypt porque eu quero tentar quebrar a força bruta com minha própria senha para ver quanto tempo leva se for realmente "muito fácil".

security passwords truecrypt user31073
fonte
10
Bem, agora que você nos contou suas senhas são sempre 8 caracteres e não palavras de dicionário, você fez muito mais fácil ;-)
Josh
Droga! Eu deveria ter tomado uma palavra do dicionário melhor ... :) #
313 user31073
Se você está realmente preocupado com senhas, tente o KeePass . Meu gerenciamento de senhas alcançou massa crítica, e o KeePass mudou minha vida. Agora, só tenho que me lembrar de duas senhas, uma para acessar meu computador e outra para acessar meu banco de dados KeePass. Todas as minhas senhas (e a maioria dos meus nomes de usuário) agora são únicas e extremamente complexas, e o uso de uma combinação de nome de usuário / senha é tão fácil quanto CTRL+ ALT+ Ase eu estiver logado no KeePass.
Ubiquibacon

Respostas:

11

Se o invasor pode obter acesso ao hash da senha, geralmente é muito fácil usar força bruta, pois simplesmente envolve senhas de hash até que os hashes correspondam.

O hash "força" depende de como a senha é armazenada. Um hash MD5 pode levar menos tempo para gerar que um hash SHA-512.

O Windows costumava (e ainda pode, eu não sei) armazenar senhas em um formato de hash LM, que colocava em maiúsculas a senha e a dividia em dois pedaços de 7 caracteres que eram então hash. Se você tivesse uma senha de 15 caracteres, isso não importaria, pois armazenava apenas os primeiros 14 caracteres e era fácil usar força bruta porque você não estava forçando brutalmente uma senha de 14 caracteres, mas brutalmente forçando duas senhas de 7 caracteres.

Se você sentir necessidade, baixe um programa como John The Ripper ou Cain & Abel (links retidos) e teste-o.

Lembro-me de poder gerar 200.000 hashes por segundo para um hash LM. Dependendo de como o Truecrypt armazena o hash, e se puder ser recuperado de um volume bloqueado, poderá levar mais ou menos tempo.

Os ataques de força bruta são frequentemente usados ​​quando o atacante tem um grande número de hashes para passar. Depois de percorrer um dicionário comum, eles geralmente começam a eliminar senhas com ataques comuns de força bruta. Senhas numeradas até dez, alfa estendido e símbolos numéricos, alfanuméricos e comuns, alfanuméricos e estendidos. Dependendo do objetivo do ataque, ele pode levar a taxas de sucesso variadas. Tentar comprometer a segurança de uma conta em particular geralmente não é o objetivo.

Josh K
fonte
Obrigado por esta resposta. Eu deveria ter mencionado que normalmente uso o RIPEMD-160 para a função hash. E para a senha, com a maneira como eu a gero, conforme descrito acima, isso é 218340105584896 possível senha (26 + 26 + 10) ^ 8 (mas o invasor não sabe disso). Então, eu me pergunto se essas senhas são seguras contra ataques de força bruta dentro do razoável (não estou falando de keyloggers, cryotricks ou criptografia de mangueira de borracha, apenas sobre adivinhação de senha de força bruta). E eu estou principalmente usando TrueCrypt.
user31073
Apenas para esclarecer, você respondeu à minha pergunta, com base em 200.000 para 218340105584896 combinações em um nó que levaria ~ 36 anos, desde que o invasor saiba o tamanho da senha. Isso também é o que a calculadora on-line me fornece. Obrigado!
user31073
Se for possível obter o hash, sim, é possível executar um ataque de força bruta. O êxito ou não deles depende muito de quanto eles sabem sobre a senha e de quanto tempo eles têm. Resposta atualizada.
21710 Josh K
3
Lembre-se de que 36 anos ficam rápidos se você pré-calcular os hashes usando uma rede distribuída. Se você usa 1000 computadores, é um número gerenciável.
Rich Bradshaw
1
Também é bom lembrar que, aumentando o tamanho da senha, a dificuldade aumenta imensamente. Se a senha de 8 caracteres demorar 36 anos, dobrando o comprimento para 16 caracteres, o tempo não será dobrado, mas aumentará para 7663387620052652 anos. :)
Ilari Kajaste
4

Força Bruta não é um ataque viável , quase sempre. Se o invasor não souber nada sobre sua senha, ele não estará recebendo força bruta neste lado de 2020. Isso pode mudar no futuro, à medida que o hardware avança (por exemplo, pode-se usar todos os agora núcleos em um i7, acelerando enormemente o processo (ainda falando anos, no entanto))

Se você deseja ser super seguro, coloque um símbolo de ascii estendido (mantenha pressionada a tecla alt, use o teclado numérico para digitar um número maior que 255). Fazer isso praticamente garante que uma força bruta simples é inútil.

Você deve se preocupar com possíveis falhas no algoritmo de criptografia do truecrypt, o que poderia facilitar a localização de uma senha e, é claro, a senha mais complexa do mundo será inútil se a máquina em que você a estiver usando for comprometida.

Phoshi
fonte
Embora seja verdade que ataques de força bruta raramente são bem-sucedidos contra um único alvo, se eu fosse despejar o banco de dados de usuários em um site que usa o MD5 para hash as senhas, eu poderia carregá-los facilmente e executar uma força bruta contra isso com um limite de 6 caracteres, alfa +, numérico e símbolos. Eu não teria 100% de sucesso, mas seria capaz de comprometer um número decente de contas.
21710 Josh K
Se o sal fosse estático, com certeza. Não deveria ser. E isso também não é uma força bruta, é apenas uma busca em uma mesa arco-íris pré-computada. Há uma razão para nós sal nossos hashes;)
Phoshi
Quantos sites salgam os hashes? Uma tabela do arco-íris não é simplesmente um ataque de força bruta compactada em um arquivo? ;) O que quero dizer é que, se você tiver 1000 usuários com senhas, alguns deles provavelmente terão senhas como 12blue.
Josh K
Se um site não está salgando seu hash, ele está fazendo errado. Uma mesa arco-íris é apenas todo valor possível, então é como uma força bruta pré-computada, é verdade. | l2blueainda não deveria ser brutal com um bom sal, e ainda demoraria muito tempo para passar por isso. (2176782336 combinações possíveis, assumindo que o atacante sabe que é uma-Z0-9)
Phoshi
1
É uma má idéia usar símbolos estendidos-ascii, a menos que você tenha certeza de que será aceito pelo banco de dados. Na maioria das vezes, minha senha foi corrompida e o sistema não conseguiu corresponder ao que digito no login, mesmo que seja exatamente o mesmo. Isso acontece porque o unicode ainda não é um padrão comum e a codificação de texto é mal tratada na maioria dos lugares.
Cregox 22/03/10
2

Você pode usar esta ferramenta online para obter uma estimativa http://lastbit.com/pswcalc.asp

Sebtm
fonte
Qual é a precisão desse site?
Josh
1
@ Josh; Parece que apenas faz as contas, tão perfeitamente precisas, dadas as senhas corretas / segundo valor.
Phoshi
Alguma idéia de por que o howsecureismypassword.net diz que leva apenas 10 dias para quebrar essa senha?
sgmoore
1

EDIT: Outros deram boas respostas para a parte da sua pergunta sobre "Quão fácil é quebrar uma senha com força bruta? Ou seja, com que rapidez"

Para resolver esta parte da sua pergunta:

Além disso, existe algum software para cortar brutalmente o truecrypt porque eu quero tentar quebrar a força bruta com minha própria senha para ver quanto tempo leva se for realmente "muito fácil".

Aqui estão uma variedade de opções para forçar brute com o Truecrypt

Aqui está outro da Universidade de Princeton.

Josh
fonte
Isso não responde à pergunta sobre a segurança da senha curta e, em vez disso, apresenta vários outros ataques na plataforma Truecrypt.
21710 Josh K
@ Josh K: Não, ele responde à sua pergunta: "Além disso, existe algum software para truque de criptografia de força bruta, porque eu quero tentar quebrar a força bruta com minha própria senha para ver quanto tempo leva se for realmente muito ' fácil'."
Josh
1
@ Joshes agora agora, não briguem! Vocês são na verdade a mesma pessoa, não são?
Cregox 22/03/10
Não, na verdade não estamos.
22410 Josh K
0

A senha:

Essa é uma senha simples, mas longa.

é muito mais resistente à força bruta, incluindo ataques baseados em dicionário, do que:

sDvE98f1

Portanto, usar uma senha curta mas difícil é apenas contraproducente. É mais difícil de lembrar e menos seguro.

Use uma frase simples, mas longa.

Thomas Bonini
fonte
fonte?
hyperslug
@ hyper: matemática simples do ensino médio?
Thomas Bonini
1
Randall tem uma visualização útil sobre o comprimento vs complexidade: xkcd.com/936
Charles Lindsay
0

O palheiro da GRC disse que levaria 36,99 minutos para quebrar sua senha em um ataque offline. https://www.grc.com/haystack.htm

xxl3ww
fonte