短いパスワードは本当に安全ではありませんか？

17

TrueCryptなどのシステムを使用して、新しいパスワードを定義する必要がある場合、短いパスワードを使用することは安全ではなく、ブルートフォースによって「非常に簡単に」破られることがよくあります。

AZ、az、0-9のセットの文字で構成される辞書の単語に基づいていない、8文字のパスワードを常に使用します

すなわち、sDvE98f1のようなパスワードを使用します

そのようなパスワードをブルートフォースで解読するのはどれくらい簡単ですか？つまり、どのくらいの速さです。

ハードウェアに大きく依存することはわかっていますが、2GHZを搭載したデュアルコアまたはハードウェアの参照フレームを持つものでこれを行うのにかかる時間を誰かが推測できるかもしれません。

このようなパスワードをブルートフォース攻撃するには、すべての組み合わせを循環するだけでなく、推測されたパスワードごとに復号化を試行する必要があり、これにもある程度の時間が必要です。

また、ブルートフォースハッキングtruecryptを実行するためのソフトウェアがあります。これは、自分のパスワードをブルートフォースクラックして、本当に「非常に簡単」である場合にかかる時間を確認するためです。

security passwords truecrypt

— user31073
ソース

10

さて、パスワードは辞書の単語ではなく常に8文字であると言ったので、はるかに簡単になりました;

— ジョシュ

くそー！辞書の単語をとったほうが良い... :)

— user31073

パスワードが本当に心配な場合は、KeePassを試してください。私のパスワード管理は非常に大規模になり、KeePassは私の人生を変えました。これで、コンピューターにログインするためのパスワードと、KeePassデータベースにログインするためのパスワードの2つだけを覚える必要があります。すべてのパスワード（およびほとんどのユーザー名）が一意で非常に複雑になりました。KeePassにログインしている場合、ユーザー名/パスワードの組み合わせはCTRL+ ALT+ と同じくらい簡単に使用できAます。

— ユビキバコン

11

攻撃者がパスワードハッシュにアクセスできる場合、ハッシュが一致するまでパスワードをハッシュするだけなので、ブルートフォースが非常に簡単になることがよくあります。

ハッシュの「強度」は、パスワードの保存方法に依存します。MD5ハッシュは、SHA-512ハッシュを生成するよりも時間がかかりません。

Windowsは、パスワードをLMハッシュ形式で保存し、パスワードを大文字にし、それを2つの7文字のチャンクに分割してからハッシュしました。15文字のパスワードを持っている場合、最初の14文字しか保存されないため問題になりません。また、14文字のパスワードをブルートフォースしなかったため、ブルートフォースが簡単でした。2つの7文字のパスワードをブルートフォースしていました。

必要に応じて、John The RipperやCain＆Abel（リンクは差し止め）などのプログラムをダウンロードしてテストしてください。

LMハッシュに対して1秒間に200,000個のハッシュを生成できたことを思い出します。Truecryptがハッシュを保存する方法と、ロックされたボリュームから取得できる場合は、多少時間がかかります。

攻撃者が多数のハッシュを通過する必要がある場合、ブルートフォース攻撃がよく使用されます。共通の辞書を実行した後、彼らはしばしば一般的なブルートフォース攻撃でパスワードを除去し始めます。最大10個の番号付きパスワード、拡張アルファベットと数字、英数字と共通記号、英数字と拡張記号。攻撃の目的によっては、成功率が異なる可能性があります。特に1つのアカウントのセキュリティを侵害しようとすることは、多くの場合、目標ではありません。

— ジョシュ・K
ソース

この答えをありがとう。私は通常、ハッシュ関数にRIPEMD-160を使用していることに言及すべきでした。そして、パスワードについては、上記で説明したように218340105584896のパスワード（26 + 26 + 10）^ 8を生成します（ただし、攻撃者はそれを知りません）。だから、そのようなパスワードは、ブルートフォース攻撃に対して理にかなった安全性があるのだろうか（キーロガー、クライオトリックス、ラバーホース暗号化については、ブルートフォースパスワード推測についてのみ話しているのではない）。そして、私はほとんどTrueCryptを使用しています。

— user31073

明確にするために、攻撃者がパスワードの長さを知っていれば、1ノードで218340105584896の組み合わせの200,000に基づいて最大36年かかる私の質問に答えました。これはオンライン計算機からも得られます。ありがとう！

— user31073

ハッシュを取得できる場合は、はい、ブルートフォース攻撃を実行できます。彼らが成功するかどうかは、彼らがパスワードについてどれだけ知っているか、そしてどれだけの時間を持っているかに大きく依存します。回答が更新されました。

— ジョシュK

3

分散ネットワークを使用してハッシュを事前計算する場合、36年が早くなることに注意してください。1000台のコンピューターを使用している場合、管理可能な数になります。

— リッチブラッドショー

1

また、パスワードの長さを長くすると、難易度が非常に高くなることを思い出してください。8文字のパスワードに36年かかる場合、長さを2倍にして16文字にすると、時間は2倍にならず、代わりに7663387620052652年にジャンプします。:)

— イラリカジャステ

4

ブルートフォースは、ほとんど実行可能な攻撃ではありません。攻撃者があなたのパスワードについて何も知らない場合、2020年のこの側面を総当たり攻撃で取得することはできません。これは、ハードウェアの進歩に伴い、将来変更される可能性があります（たとえば、現在i7でコア化され、プロセスを大幅に高速化しています（ただし、まだ話を続けています）

超安全にしたい場合は、そこに拡張ASCIIシンボルを貼り付けます（Altキーを押しながら、テンキーを使用して255より大きい数字を入力します）。そうすることで、単純な総当たり攻撃は無用であることが確実になります。

truecryptの暗号化アルゴリズムの潜在的な欠陥を心配する必要があります。これにより、パスワードの検索がはるかに簡単になります。もちろん、使用しているマシンが危険にさらされると、世界で最も複雑なパスワードは役に立ちません。

— フォシ
ソース

単一のターゲットに対してブルートフォース攻撃が成功することはほとんどありませんが、MD5を使用してパスワードをハッシュするWebサイトのユーザーデータベースをダンプする場合、簡単にそれらをロードして、制限に対してブルートフォースを実行できます6文字、alpha +、数字、および記号。100％の成功を収めることはできませんが、まともな数のアカウントを侵害することはできます。

— ジョシュK

塩が静的である場合、必ず。すべきではありません。また、それは実際には総当たりではなく、事前に計算されたレインボーテーブルを検索するだけです。ハッシュをソルトする理由があります;）

— Phoshi

ハッシュをソルトするWebサイトはいくつありますか？レインボーテーブルは、単純にブルートフォース攻撃をファイルに圧縮したものではありませんか？;）私のポイントは、1000人のユーザーがパスワードを持っている場合、一部のユーザーはのようなパスワードを持っていることです12blue。

— ジョシュK

ウェブサイトがハッシュをソルトしていない場合、彼らはそれを間違っています。レインボーテーブルはすべての可能な値であるため、事前に計算されたブルートフォースのようなものです。| l2blue良い塩で強引にすべきではありませんし、それを通過するにはまだ長い時間がかかります。（2176782336可能な組み合わせ、攻撃者がa-z0-9であることを知っていると仮定すると）

— -Phoshi

1

データベースで受け入れられるかどうか確信が持てない限り、拡張ASCIIシンボルを使用することはお勧めできません。たいていの場合、パスワードが破損しているため、システムはパスワードがまったく同じであっても、ログイン時に入力したものと一致させることができませんでした。これは、Unicodeがまだ一般的な標準ではなく、ほとんどの場所でテキストエンコーディングが適切に処理されないために発生します。

— クレゴックス

2

このオンラインツールを見積もりに使用できます http://lastbit.com/pswcalc.asp

— セブトム
ソース

そのサイトはどれくらい正確ですか？

— ジョシュ

1

@ジョシュ; それは単に数学を行うように見えるので、正しいパスワード/秒の値を与えられれば完全に正確です。

— -Phoshi

howsecureismypassword.netがこのパスワードを破るのに10日しかかからないと言う理由はありますか？

— sgmoore

1

編集：「ブルートフォースによってそのようなパスワードを解読するのはどれくらい簡単ですか？つまり、どのくらいの速さ」に関する質問の部分に対して他の人が良い答えを与えました

質問のこの部分に対処するには：

また、ブルートフォースハッキングtruecryptを実行するためのソフトウェアがあります。これは、自分のパスワードをブルートフォースクラックして、本当に「非常に簡単」である場合にかかる時間を確認するためです。

以下は、 Truecryptをブルートフォースするためのさまざまなオプションです。

プリンストン大学のもう1つです。

— ジョシュ
ソース

これは、彼の短いパスワードがどれほど安全であるかという彼の質問に答えるのではなく、代わりにTruecryptプラットフォームに対するさまざまな他の攻撃を展開します。

— ジョシュK

@ジョシュK：いいえ、彼の質問に答えます。「また、ブルートフォースハッキングtruecryptにいくつかのソフトウェアがあります。簡単です。」

— ジョシュ

1

@Joshes今、お互いに戦ってはいけません！あなたは両方とも実際には同じ人ですよね？

— クレゴックス

いいえ、実際はそうではありません。

— ジョシュK

0

パスワード：

これは単純ですが、長いパスワードです。

ある大いにより辞書ベースの攻撃、を含む、ブルートフォースに対してより耐性：

sDvE98f1

したがって、短いが難しいパスワードを使用すると、逆効果になります。覚えるのが難しく、安全性も低くなります。

シンプルだが長いフレーズを使用します。

— トーマス・ボニーニ
ソース

ソース？

— -hyperslug

@hyper：単純な高校の数学？

— トーマスボニーニ

1

ランドールには、長さと複雑さに関する便利な視覚化があります： xkcd.com/936

— チャールズリンゼイ

0

GRCのヘイスタックは、オフライン攻撃でパスワードを解読するのに36.99分かかると述べました。 https://www.grc.com/haystack.htm

— xxl3ww
ソース