Niedawno otrzymałem zalecenie ustawienia mojego hasła na ponad 20 znaków. Algorytmem używanym do szyfrowania jest AES z 256-bitowym kluczem podstawowym. Jak bezpieczne jest, powiedzmy, 8-znakowe hasło przeciwko brutalnym atakom w celu odszyfrowania zaszyfrowanych plików?
Wiem, że jest to uważane za dobry rozmiar hasła na większości stron internetowych. Jednym z powodów jest to, że mogą zatrzymać atak po około 3 próbach.
Możesz wskazać, kto napisał tę politykę, na tym blogu od Bruce'a Schneiera .
To dobry opis tego, dlaczego siła haseł jest najmniejszym problemem niczyim w sieci.
źródło
Spójrz na zaakceptowaną odpowiedź w tym poście . Pokazuje, że złamanie nawet 8-znakowego hasła przy użyciu pełnego zakresu znaków może zająć około 10 000 lat!
źródło
Jeśli liczymy użycie tęczowych tabel jako brutalnej siły (opinie są różne), to dla 8 znaków, używając tablic tęczowych, które zawierają wszystkie znaki w haśle, około 10 sekund. Hasło 20 znaków (te same znaki, te same tabele tęczy), mniej niż 30 sekund. Problem polega na tym, że generowanie tabel zajmuje dużo czasu. Moje zajęło około miesiąca generowanie na maszynie 3GHz tylko w nocy. Z drugiej strony musisz to zrobić tylko raz.
Problem próby zapamiętania długich haseł można łatwo rozwiązać za pomocą kombinacji podstawiania znaków i użycia frazy. Nawet coś tak prostego „# Fr3ddy M3rcury #” jest wystarczająco skomplikowane do większości zastosowań, ale jest niezwykle łatwe do zapamiętania.
źródło
Pamiętaj, że ośmioznakowe hasło może zostać zapamiętane. Hasło 20-znakowy będzie być spisane.
A potem ktoś może to przeczytać.
źródło
Możesz być zainteresowany artykułem „ Hasła kontra hasła ”. Ich wniosek jest taki, że całkowicie losowe hasło składające się z 9 znaków jest w przybliżeniu równoważne 6-słowowemu hasłu. Uważają jednak, że łatwiej byłoby zapamiętać 6-wyrazową frazę.
źródło
Wszystko zależy od użytych postaci, ponieważ zmienia to liczbę kombinacji. Zakładając 8 znaków:
Słowo ze słownika:
Małe litery: 26 8 lub 208827064576
Małe i wielkie litery: 52 8 lub 53459728531456
Dolna, górna i cyfry: 62 8 lub 218340105584896
Dodaj interpunkcję i inne symbole, a brutalne wymuszanie zajmie trochę czasu.
Te liczby to łączne kombinacje, które należy wypróbować. Oczywiście haker nie wypróbuje każdej kombinacji po otrzymaniu hasła, więc podziel się przez dwa, aby uzyskać średnią wymaganą liczbę kombinacji.
Trudniejsze skróty skutkują dłuższym czasem procesora do obliczenia skrótu, więc całkowity czas jest dłuższy. Przykład z Johna:
Oczywiście jest to całkowicie akademickie, ponieważ hakerzy po prostu dzwonią do twojego sekretarza, mówiąc im, że są z działu IT i potrzebują hasła do czegoś, a twoje silne hasło jest bezwartościowe.
źródło
Do ochrony używam nietrywialnych haseł
Nie martwię się o moje konto Gmail, ponieważ próby złamania tego hasła przez brutalną siłę po prostu zablokują konto (a każdy, kto ma dostęp do serwera, po prostu zastąpi hash jednym z wybranych przez siebie, a nie spróbuje go złamać).
Najlepsze hasło jest długie (> 12 znaków) i kryptograficznie losowe. Są jednak trudniejsze do zapamiętania. Zatem hasło, które łączy wiele słów z pozornie losowymi postaciami, może być dobrym kompromisem (być może pierwsze 1 lub 2 litery pierwszych kilku wierszy ulubionej piosenki).
źródło
Istnieje bezpieczeństwo, które uzyskujesz dzięki komunikacji klient / serwer, np. Jak powiedziałeś, gdy jesteś w stanie zatrzymać atakujących po 3 próbach (gdy atakują przez sieć, jak w przypadku aplikacji internetowych). W tym scenariuszu prawie każdą długość hasła można uznać za wystarczającą.
Jeśli jednak osoba chwytająca tę bazę danych zaszyfruje krótkie hasła i będzie w stanie ominąć ograniczenie 3 prób „over the net”, gra się zmieni.
Zastrzeżeniem dotyczącym ograniczenia liczby prób na konto jest to, że wystarczy to tylko w przypadku ukierunkowanych prób na jednym konkretnym koncie. Musisz także zabezpieczyć się przed atakiem na wszystkie konta za pomocą danego (lub permutowanego) hasła - nie spowoduje to wyzwolenia alarmu, gdy ograniczysz liczbę prób na konto. Biorąc pod uwagę dzisiejsze NAT i botnety, nie można nawet argumentować, że ograniczenie liczby prób na IP to dobry sposób myślenia o bezpieczeństwie.
Dobre zasoby do czytania zostały już podane w innych odpowiedziach.
źródło