2024 Pengarang: Peter John Melton | [email protected]. Diubah suai terakhir: 2023-12-16 04:47
Anda tahu gerudi: menggunakan kata laluan yang panjang dan pelbagai, jangan gunakan kata laluan yang sama dua kali, gunakan kata laluan yang berbeza untuk setiap laman web. Adakah menggunakan kata laluan pendek benar-benar berbahaya? Sesi Soalan & Jawapan hari ini datang kepada kami dengan hormat SuperUser-satu bahagian dari Stack Exchange, sebuah kumpulan laman web Q & A yang didorong oleh komuniti.
Soalan
Pembaca SuperUser user31073 ingin tahu sama ada dia sepatutnya mengingati amaran kata laluan yang pendek:
Using systems like TrueCrypt, when I have to define a new password I am often informed that using a short password is insecure and “very easy” to break by brute-force.
I always use passwords of 8 characters in length, which are not based on dictionary words, which consists of characters from the set A-Z, a-z, 0-9
I.e. I use password like sDvE98f1
How easy is it to crack such a password by brute-force? I.e. how fast.
I know it heavily depends on the hardware but maybe someone could give me an estimate how long it would take to do this on a dual core with 2GHZ or whatever to have a frame of reference for the hardware.
To brute-force attack such a password one needs not only to cycle through all combinations but also try to decrypt with each guessed password which also needs some time.
Also, is there some software to brute-force hack TrueCrypt because I want to try to brute-force crack my own password to see how long it takes if it is really that “very easy”.
Adakah kata laluan aksara rawak pendek benar-benar berisiko?
Jawapan
Penyumbang SuperUser Josh K. menyoroti apa yang diperlukan oleh penyerang:
If the attacker can gain access to the password hash it is often very easy to brute force since it simply entails hashing passwords until the hashes match.
The hash “strength” is dependent on how the password is stored. A MD5 hash might take less time to generate then a SHA-512 hash.
Windows used to (and may still, I don’t know) store passwords in a LM hash format, which uppercased the password and split it into two 7 character chunks which were then hashed. If you had a 15 character password it wouldn’t matter because it only stored the first 14 characters, and it was easy to brute force because you weren’t brute forcing a 14 character password, you were brute forcing two 7 character passwords.
If you feel the need, download a program such as John The Ripper or Cain & Abel (links withheld) and test it.
I recall being able to generate 200,000 hashes a second for an LM hash. Depending on how Truecrypt stores the hash, and if it can be retrieved from a locked volume, it could take more or less time.
Brute force attacks are often used when the attacker has a large number of hashes to go through. After running through a common dictionary they will often start weeding passwords out with common brute force attacks. Numbered passwords up to ten, extended alpha and numeric, alphanumeric and common symbols, alphanumeric and extended symbols. Depending on the goal of the attack it can lead with varying success rates. Attempting to compromise the security of one account in particular is often not the goal.
Satu lagi penyumbang, Phoshi memperluaskan idea itu:
Brute-Force is not a viable attack, pretty much ever. If the attacker knows nothing about your password, he isn’t getting it through brute-force this side of 2020. This may change in the future, as hardware advances (For example, one could use all however-many-it-has-now cores on an i7, massively speeding up the process (Still talking years, though))
If you want to be -super- secure, stick an extended-ascii symbol in there (Hold alt, use the numpad to type in a number larger than 255). Doing that pretty much assures that a plain brute-force is useless.
You should be concerned about potential flaws in truecrypt’s encryption algorithm, which could make finding a password much easier, and of course, the most complex password in the world is useless if the machine you’re using it on is compromised.
Kami akan memaparkan jawapan Phoshi untuk membaca "Kekuatan brute bukan serangan yang berdaya maju, apabila menggunakan enkripsi generasi semasa yang canggih, cukup banyak".
Seperti yang kita ketengahkan dalam artikel baru-baru ini, Serangan Brute-Force Dijelaskan: Bagaimana Semua Penyulitan adalah rentan, umur skema enkripsi dan peningkatan perkakasan jadi hanya masalah masa sebelum apa yang digunakan untuk menjadi sasaran keras (seperti algoritma penyulitan kata laluan NTLM Microsoft) boleh dikalahkan dalam masa beberapa jam.
Mempunyai sesuatu untuk menambah penjelasannya? Bunyi dalam komen. Ingin membaca lebih banyak jawapan dari pengguna Stack Exchange yang berteknologi tinggi? Lihat thread perbincangan penuh di sini.
Disyorkan:
Pembersihan Cakera sedang Pergi di Windows 10 dan Kami Tak Sudah Sudah
Microsoft secara senyap-senyap mengumumkan bahawa Pembersihan Cakera kini sudah usang, berita yang dikebumikan di bahagian bawah postingan blog tentang Penyimpanan Penyimpanan Windows 10. Pembersihan Cakera tidak akan pergi dengan serta-merta tetapi dalam perjalanan keluar pintu.
Mengapa Laman Web Google Katakan Adakah "Tidak Aman"?
Bermula dengan Chrome 68, Google Chrome melabel semua laman web bukan HTTPS sebagai "Tidak Aman." Tiada yang lain telah berubah-laman web HTTP adalah sama selamat seperti yang mereka selalu-tetapi Google memberi seluruh web satu arah ke arah selamat, dienkripsi sambungan.
Linux Sudah Lama untuk Memasang dan Menggunakan - Kini Sudah Mudah
Linux lebih mudah dipasang dan digunakan berbanding sebelum ini. Jika anda cuba memasang dan menggunakannya tahun lalu, anda mungkin mahu memberi pengedaran Linux moden peluang kedua.
Java adalah Tidak Aman dan Mengerikan, Sudah Masa untuk Melumpuhkan, dan Bagaimana Ini
Seperti biasa, terdapat satu lagi lubang keselamatan dalam Persekitaran Runtime Java, dan jika anda tidak mematikan plugin Jawa anda, anda berisiko untuk dijangkiti dengan perisian hasad. Inilah cara untuk melakukannya.
Penjana URL Pendek Pendek dan perkhidmatan expander
Gunakan penjana URL Pendek untuk menghantar URL lama di rangkaian sosial. Gunakan perkhidmatan pengembang URL Pendek untuk mengelakkan malware dengan mengenal pasti sumber pautan URL dipendekkan.