ataque de dicionário em senhas [fechado]

2

Eu estou questionando o conselho comum dado para não usar palavras do dicionário em uma frase para uma senha. Por exemplo, usando "Meu nome é Sue!" como uma senha. Nos sites que eu hospedo e gerencio, se você não digitar a sequência exata de caracteres que você não está recebendo. Eu olhei para os dicionários usados por alguns softwares de cracking e eles são surpreendentes coleções de palavras. Eu rapidamente desisti de tentar encontrar uma palavra que não estivesse lá, em todas as línguas escritas. Portanto, usar um palavrão holandês gera uma senha péssima. Mas, não havia frases lá, e mesmo se não houvesse o número de frases possíveis e suas permutações simplesmente o transformaria em outra forma de ataque de força bruta?

Então, por que o conselho de não usar palavras do dicionário em uma frase para uma frase secreta?

(caixa de sabão) Eu acho que a TI fez um desserviço aos usuários, exigindo cada vez mais complexas e impossíveis lembrar as senhas, em vez de oferecer o conselho de usar uma frase secreta. Eu estou procurando uma resposta fundamentada porque eu estou pensando incorretamente e deve voltar ao conselho comum. (/ Caixa de sabão)

    
por jsigned 02.11.2012 / 00:26

3 respostas

1

Você está comparando as senhas com as senhas . Os códigos de acesso são geralmente considerados superiores , desde que as pessoas não usem frases comuns.

    
por 02.11.2012 / 01:33
1

Como 'Ernie' já disse que você está comparando senhas com senhas. O conselho para não usar palavras do dicionário é sólido. Mas usar senhas como uma combinação de palavras de dicionário é apenas "um passo" menos perigoso, assim como outros truques que tentam criar uma senha / frase memorável.

Hoje em dia, na situação em que um invasor tem a versão criptografada de sua senha (frase), ele não fará apenas um ataque comum de dicionário. Os hackers sabem todos os truques ( leetspeak , concatenando palavras, adicionando números, etc.).

Informações estendidas em Security Now 366 "Atualização de quebra de senha: A morte de 'Clever'" (ou leia a seção transcrição ).

Sugiro que você use um bom gerador de senhas como o LastPass (também discutido em segurança no episódio 256 do Security Now) para gerar senhas aleatórias para você. Os seres humanos são ruins ao acaso (ou gerando-o ou detectando-o

Se você realmente deseja senhas memoráveis, convém usar a técnica de palheiros com senhas como uma alternativa difícil de lembrar combinações aleatórias. Aqui você acrescenta uma string repetitiva (123 123 123) a uma string curta contendo a entropia máxima (D0g!).

Qualquer que seja o método escolhido, faça o seu senhas com pelo menos 12 caracteres . Todas as senhas de 8 caracteres podem ser quebradas em 13 horas em uma máquina build-it-yourself que custa US $ 12000 (principalmente para as GPUs)

    
por 02.11.2012 / 14:43
1

Como é difícil usar uma senha de força bruta depende de pelo menos duas variáveis:

  • Comprimento da senha.
  • Caracteres de senha permitidos.

O primeiro é óbvio. Se eu me limitar a apenas letras (26 pequenas + 26 letras maiúsculas), então

  1. Uma senha de uma única letra pode ser adivinhada em no máximo 52 tentativas.
  2. Uma senha de duas letras pode ser adivinhada em no máximo 2704 tentativas (52 × 52)
  3. Uma senha de três letras pode ser adivinhada em 140608 tentativas (52 × 52 × 52)

Como você pode ver, o número de combinações aumenta rapidamente. Portanto, quanto mais longa a senha, mais difícil será a força bruta. A TI deve incentivar senhas longas.

No entanto, muitos aplicativos antigos aceitam senhas até um tamanho de 8. Isso é simplesmente muito curto para uma boa segurança. Se você está limitado a um 8 char. limite, ou você sabe que seus usuários não usarão senhas longas, existe outra maneira de tornar as senhas mais difíceis de usar: Faça com que a senha use um conjunto maior de entradas do que apenas letras. Adicione dígitos. Adicione coisas estranhas no teclado .

Esta não é uma boa solução. É uma solução para compensar o usuário médio ou para sistemas antigos. Uma senha como BatteryHorseStaple (tamanho 18) é muito mais difícil de decifrar do que a maioria das senhas curtas, mas complexas. No entanto, a maioria das pessoas terá preguiça de digitar isso.

Você pode notar que eu sempre usei o termo força bruta uma senha e não decifrar uma senha . Isso ocorre porque existem outras maneiras de descobrir as senhas de alguém. Por exemplo, você pode adivinhar.

Os dicionários não são nada mais do que grandes listas de palavras para adivinhar, e os programas de quebra de senhas são inteligentes o suficiente para tentar variações de palavras em dicionários.

Isso torna as palavras em tal dicionário inadequadas para as senhas e para o uso em senhas.

    
por 02.11.2012 / 01:29