내 짧은 비밀번호가 실제로 얼마나 안전하지 않습니까?

17

새 암호를 정의해야 할 때 TrueCrypt와 같은 시스템을 사용하면 짧은 암호를 사용하는 것이 안전하지 않으며 무차별 공격에 의해 "매우 쉽다"는 메시지가 종종 나타납니다.

나는 항상 AZ, az, 0-9 세트의 문자로 구성된 사전 단어를 기반으로하지 않는 8 자 길이의 암호를 사용합니다.

즉 sDvE98f1과 같은 비밀번호를 사용합니다.

이러한 암호를 무차별 대입하는 것이 얼마나 쉬운가요? 즉 얼마나 빠릅니다.

나는 그것이 하드웨어에 크게 의존한다는 것을 알고 있지만 누군가 2GHZ가있는 듀얼 코어에서 또는 하드웨어에 대한 참조 프레임을 갖는 데 걸리는 시간을 예상 할 수 있습니다.

이러한 암호를 강제 공격하려면 모든 조합을 순환해야 할뿐만 아니라 시간이 필요한 각 추측 된 암호로 암호 해독을 시도해야합니다.

또한 실제로 암호가 너무 "매우 쉬운"지 확인하는 데 걸리는 시간을 확인하기 위해 내 암호를 무차별 대입하려고하기 때문에 truecrypt를 해킹하는 소프트웨어가 있습니까?

security passwords truecrypt

— 사용자 31073
소스

10

자 이제 비밀번호가 항상 8 자이고 사전 단어가 아니라고 말 했으므로 훨씬 쉬워졌습니다 ;-)

— Josh

제길! 나는 더 나은 사전 단어를

— 가져와야했다

암호가 정말로 걱정된다면 KeePass를 시도하십시오 . 내 암호 관리가 중요한 수준에 도달 한 후 KeePass가 제 인생을 바꿨습니다. 이제 2 개의 비밀번호 만 기억하면됩니다. 하나는 내 컴퓨터에 로그인하고 다른 하나는 KeePass 데이터베이스에 로그인합니다. 모든 암호 (및 대부분의 사용자 이름)는 이제 고유하고 매우 복잡하며 KeePass에 로그인하면 사용자 이름 / 암호 콤보를 사용하는 것이 CTRL+ ALT+ 만큼 쉽습니다 A.

— ubiquibacon

11

공격자가 암호 해시에 액세스 할 수있는 경우 해시가 일치 할 때까지 해싱 암호를 수반하기 때문에 무차별 대입하기 쉽습니다.

해시 "강도"는 암호 저장 방법에 따라 다릅니다. MD5 해시는 SHA-512 해시를 생성하는 데 시간이 덜 걸릴 수 있습니다.

Windows는 암호를 LM 해시 형식으로 저장하는 데 사용했지만 여전히 알지 못할 수도 있습니다.이 암호는 대문자이며 두 개의 7 개 청크로 분할 한 다음 해시됩니다. 암호가 15자인 경우 처음 14 자만 저장했기 때문에 문제가되지 않으며 14 자 암호를 강제로 무차별 적이 어서 무차별 공격을하기 쉬웠으므로 7 자 암호 2 개를 무차별 강제로 사용했습니다.

필요하다고 생각되면 John The Ripper 또는 Cain & Abel과 같은 프로그램을 다운로드하여 테스트하십시오.

LM 해시에 대해 초당 200,000 개의 해시를 생성 할 수 있다고 생각합니다. Truecrypt가 해시를 저장하는 방법에 따라, 그리고 잠긴 볼륨에서 검색 할 수있는 경우 다소 시간이 걸릴 수 있습니다.

무차별 대입 공격은 공격자가 많은 수의 해시를 통과 할 때 종종 사용됩니다. 공통 사전을 실행 한 후에는 종종 일반적인 무차별 대입 공격으로 비밀번호를 제거하기 시작합니다. 최대 10 개의 번호가 매겨진 비밀번호, 확장 영숫자, 영숫자 및 공통 기호, 영숫자 및 확장 기호. 공격 목표에 따라 다양한 성공률로 이어질 수 있습니다. 특히 한 계정의 보안을 손상시키는 것은 목표가 아닙니다.

— 조쉬 케이
소스

이 답변에 감사드립니다. 필자는 일반적으로 해시 함수에 RIPEMD-160을 사용한다고 언급 했어야합니다. 그리고 암호의 경우 위에서 설명한대로 암호를 생성하는 방법은 218340105584896 가능한 암호 (26 + 26 + 10) ^ 8입니다 (그러나 공격자는 알지 못합니다). 그래서 나는 그러한 암호가 이유 내 에서 무차별 대입 공격에 대해 안전한지 궁금합니다 . 그리고 나는 주로 TrueCrypt를 사용하고 있습니다.

— user31073

명확히하기 위해 공격자가 암호 길이를 알고 있다면 ~ 36 년이 걸리는 1 노드의 218340105584896 조합에 대해 200,000을 기준으로 내 질문에 대답했습니다. 이것은 또한 온라인 계산기가 제공하는 것입니다. 감사!

— user31073

그들이 해시를 얻는 것이 가능하다면, 무차별 대입 공격을 실행할 수 있습니다. 암호의 성공 여부는 암호에 대해 얼마나 많이 알고 있고 시간이 얼마나 있는지에 따라 다릅니다. 답변이 업데이트되었습니다.

— Josh K

3

분산 네트워크를 사용하여 해시를 사전 계산하면 36 년이 더 빨라집니다. 1000 대의 컴퓨터를 사용한다면 관리 할 수있는 수치입니다.

— Rich Bradshaw

1

암호 길이를 늘리면 난이도가 엄청나게 높아진다는 점도 기억하는 것이 좋습니다. 8 자 암호가 36 년이 걸리면 길이가 16 자로 두 배가되어 시간이 두 배가되지 않고 대신 7663387620052652 년으로 점프합니다. :)

— Ilari Kajaste

4

Brute-Force는 실행 가능한 공격이 아닙니다 . 공격자가 사용자의 암호에 대해 아무 것도 모른다면 2020 년이 측면을 무차별 암호를 통해 얻지 못합니다. 앞으로 하드웨어가 발전함에 따라 변경 될 수 있습니다 (예를 들어, 많은 수의 암호를 모두 사용할 수 있음) 이제 i7을 핵심으로하여 프로세스 속도를 크게 향상시킵니다 (아직 몇 년 동안 이야기)

완전 안전을 원한다면 확장 ASCII 기호를 거기에 붙입니다 (대체 키를 누르고 숫자 키패드를 사용하여 255보다 큰 숫자를 입력하십시오). 그렇게하는 것은 평범한 무차별 대변인이 쓸모 없다는 것을 보장합니다.

truecrypt의 암호화 알고리즘의 잠재적 결함에 대해 염려해야합니다. 이로 인해 암호를 훨씬 쉽게 찾을 수 있으며, 사용중인 컴퓨터가 손상된 경우 세계에서 가장 복잡한 암호는 쓸모가 없습니다.

— 포시
소스

무차별 대입 공격은 단일 대상에 대해 거의 성공하지 못하지만 MD5를 사용하여 암호를 해시하는 웹 사이트에 대한 사용자 데이터베이스를 덤프하는 경우 암호를 쉽게로드하고 6 자, 알파 +, 숫자 및 기호 100 % 성공하지는 못했지만 적절한 수의 계정을 손상시킬 수 있습니다.

— Josh K

소금이 정적 인 경우에는 확실합니다. 해서는 안됩니다. 그리고 그것은 실제로 무차별적인 힘 이 아니며 미리 계산 된 무지개 테이블을 검색하는 것입니다. 우리가 해시를 소금에 절인 이유가 있습니다.)

— Phoshi

해시에 소금을 뿌리는 웹 사이트는 몇 개입니까? 레인보우 테이블은 단순히 무차별 대입 공격이 파일로 압축되지 않습니까? ;) 내 요점은 암호를 가진 1000 명의 사용자가있는 경우 일부는와 같은 암호를 사용해야합니다 12blue.

— Josh K

웹 사이트가 해시를 염두에 두지 않으면 잘못하고있는 것입니다. 레인보우 테이블은 가능한 모든 값이므로 미리 계산 된 무차별 대입과 같은 것입니다. | l2blue여전히 좋은 소금으로 잔인 해져서는 안되며, 그것을 통과하는 데 여전히 오랜 시간이 걸립니다. (2176782336 가능한 조합, 공격자가 a-z0-9임을 알고 있다고 가정)

— Phoshi

1

데이터베이스에서 허용 될 것이라고 확신하지 않는 한 확장 ASCII 기호를 사용하는 것은 좋지 않습니다. 암호가 손상되어 시스템이 로그인시 입력 한 내용과 정확히 일치하지 않는 경우가 종종 있습니다. 이는 유니 코드가 여전히 일반적인 표준이 아니며 텍스트 인코딩이 대부분의 장소에서 제대로 처리되지 않기 때문에 발생합니다.

— cregox

2

http://lastbit.com/pswcalc.asp 평가를 위해이 온라인 도구를 사용할 수 있습니다

— Sebtm
소스

그 사이트는 얼마나 정확합니까?

— Josh

1

@조롱; 정확한 암호 / 초 값이 주어지면 수학이 수행되는 것처럼 보입니다.

— Phoshi

howsecureismypassword.net에서 왜이 암호를 해독하는 데 10 일밖에 걸리지 않았다고 생각 하십니까?

— sgmoore

1

편집 : 다른 사람들은 "무차별 암호로 암호를 해독하는 것이 얼마나 쉬운가요?

질문의이 부분을 해결하려면 :

또한 실제로 암호가 너무 "매우 쉬운"지 확인하는 데 걸리는 시간을 확인하기 위해 내 암호를 무차별 대입하려고하기 때문에 truecrypt를 해킹하는 소프트웨어가 있습니까?

Truecrypt를 무차별 처리하기위한 다양한 옵션이 있습니다.

Princeton University 의 다른 제품이 있습니다.

— 조롱
소스

이것은 그의 짧은 암호가 얼마나 안전한지에 대한 그의 질문에 대답하지 않고 대신 Truecrypt 플랫폼에 대한 다양한 다른 공격을 제시합니다.

— Josh K

@Josh K : 아니요. 그의 질문에 대답합니다. "또한, 실제로 암호가 너무 크면 시간이 얼마나 걸리는지 확인하기 위해 내 암호를 무차별 대입하려고하기 때문에 truecrypt를 해킹하는 소프트웨어가 있습니까? 쉬운'."

— Josh

1

@ 조쉬 지금, 서로 싸우지 마십시오! 당신은 둘 다 실제로 같은 사람입니까?

— cregox

아니요, 실제로는 아닙니다.

— Josh K

0

비밀번호:

이것은 간단하지만 긴 비밀번호입니다.

이다 크게 이상의 사전 기반 공격을 포함한 짐승 힘에 대한 저항력 :

sDvE98f1

따라서 짧지 만 어려운 암호를 사용하면 생산성이 떨어집니다. 기억하기가 더 어렵고 덜 안전합니다.

간단하지만 긴 문구를 사용하십시오.

— 토마스 보니 니
소스

출처?

— hyperslug

@ 하이퍼 : 간단한 고등학교 수학?

— 토마스 보니 니

1

랜달은 길이 대 복잡성에 대한 유용한 시각화 기능을 제공합니다. xkcd.com/936

— Charles Lindsay

0

GRC의 건초 더미는 오프라인 공격에서 암호를 해독하는 데 36.99 분이 걸릴 것이라고 말했다. https://www.grc.com/haystack.htm

— xxl3ww
소스