Quão insegura é minha senha curta realmente?

17

Usando sistemas como o TrueCrypt, quando eu tenho que definir uma nova senha eu sou frequentemente informado que usar uma senha curta é inseguro e "muito fácil" de quebrar pela força bruta.

Eu sempre uso senhas de 8 caracteres de comprimento, que não são baseadas em palavras do dicionário, que consiste em caracteres do conjunto A-Z, a-z, 0-9

Ou seja. Eu uso senha como sDvE98f1

Quão fácil é quebrar essa senha com força bruta? Ou seja quão rápido.

Eu sei que depende muito do hardware, mas talvez alguém possa me dar uma estimativa de quanto tempo levaria para fazer isso em um dual core com 2GHZ ou o que quer que seja para ter um quadro de referência para o hardware.

Para forçar a briute a atacar tal senha, é preciso não apenas percorrer todas as combinações, mas também tentar descriptografar com cada senha adivinhada, que também precisa de algum tempo.

Além disso, existe algum software para cortar brutalmente o truecrypt porque eu quero tentar usar a força bruta para quebrar o meu próprio passe para ver quanto tempo demora, se é realmente "muito fácil".

    
por user31073 13.03.2010 / 17:28

6 respostas

10

Se o invasor puder obter acesso ao hash de senha, geralmente é muito fácil forçar a força bruta, já que isso simplesmente envolve a conversão de senhas até que os hashes coincidam.

A "força" do hash depende de como a senha é armazenada. Um hash MD5 pode levar menos tempo para gerar um hash SHA-512.

O Windows usava (e ainda não sei) o armazenamento de senhas em um formato de hash LM, que usava letras maiúsculas e dividia-as em dois blocos de 7 caracteres que eram então hash. Se você tivesse uma senha de 15 caracteres, não importaria, porque ela armazenava apenas os 14 primeiros caracteres, e era fácil forçar a força bruta, porque você não era brutal, forçando uma senha de 14 caracteres, você foi brutal forçando duas senhas de 7 caracteres. / p>

Se você sentir necessidade, baixe um programa como John The Ripper ou Cain & Abel (links retidos) e testá-lo.

Eu me lembro de ser capaz de gerar 200.000 hashes por segundo para um hash LM. Dependendo de como o Truecrypt armazena o hash, e se ele puder ser recuperado de um volume bloqueado, pode levar mais ou menos tempo.

Os ataques de força bruta costumam ser usados quando o atacante tem um grande número de hashes para passar. Depois de percorrer um dicionário comum, eles geralmente iniciam a remoção de senhas com ataques de força bruta comuns. Senhas numeradas até dez, símbolos alfa e numéricos, alfanuméricos e comuns estendidos, símbolos alfanuméricos e estendidos. Dependendo do objetivo do ataque, ele pode levar a taxas de sucesso variáveis. A tentativa de comprometer a segurança de uma conta em particular muitas vezes não é o objetivo.

    
por 13.03.2010 / 17:38
3

Brute-Force não é um ataque viável , praticamente sempre. Se o atacante não sabe nada sobre sua senha, ele não está conseguindo através da força bruta deste lado de 2020. Isso pode mudar no futuro, à medida que o hardware avança (por exemplo, pode-se usar todos os recursos agora núcleos em um i7, massivamente acelerando o processo (Ainda falando anos, no entanto))

Se você quiser ser super-seguro, coloque um símbolo ascii-ascii lá (segure alt, use o numpad para digitar um número maior que 255). Fazer isso praticamente garante que uma força bruta simples é inútil.

Você deve se preocupar com possíveis falhas no algoritmo de criptografia do TrueCrypt, o que poderia tornar a localização de uma senha muito mais fácil e, é claro, a senha mais complexa do mundo é inútil se a máquina em uso for comprometida. / p>     

por 13.03.2010 / 18:01
2

Você pode usar essa ferramenta on-line para uma estimativa link

    
por 13.03.2010 / 17:40
1

EDIT: Outros deram boas respostas para a parte de sua pergunta sobre "Quão fácil é quebrar uma senha como essa pela força bruta? Ou seja, quão rápido"

Para abordar esta parte da sua pergunta:

Also, is there some software to brute-force hack truecrypt because I want to try to brute-force crack my own passsword to see how long it takes if it is really that "very easy".

Aqui está uma variedade de opções para truecrypt

Aqui está outro da Universidade de Princeton.

    
por 13.03.2010 / 18:04
0

A senha:

This is a simple, but long, password.

é muito mais resistente à força bruta, incluindo ataques baseados em dicionário, do que:

sDvE98f1

Usar uma senha curta, mas difícil, é contraproducente. É mais difícil de lembrar e menos seguro.

Use uma frase simples, mas longa.

    
por 28.06.2011 / 18:11
0

O palheiro do GRC disse que levaria 36,99 minutos para decifrar sua senha em um ataque offline. link

    
por 12.07.2013 / 17:44