(使用短密码)短密码真的那么不安全吗?
短密码真的那么不安全吗?
您知道操作:使用一个长而多样的密码,不要使用相同的密码两次,对每个站点使用不同的密码。使用短密码真的那么危险吗?
今天的问答环节是由超级用户提供的,这是Stack Exchange的一个细分部门,这是一个由社区驱动的Q&A网站分组。
问题
超级用户31073很好奇他是否真的应该注意那些短密码警告:
使用像TrueCrypt这样的系统,当我必须定义一个新密码时,我经常被告知,使用短密码是不安全的,并且“非常容易”被暴力破坏。
我总是使用长度为8个字符的密码,这些密码不是基于字典单词,而是由A-Z、a-z、0-9集合中的字符组成。
也就是说,我使用的密码类似于sDvE98f1。
用暴力破解这样的密码有多容易?也就是有多快。
我知道这在很大程度上取决于硬件,但是也许有人可以给我一个估计,在一个2 GHz的双核上完成这个任务需要多长时间,或者任何东西都可以为硬件提供参考框架。
要强行攻击这样的密码,不仅需要循环通过所有的组合,还需要尝试用每个猜测的密码解密,这也需要一些时间。
另外,是否有一些软件可以强行破解TrueCrypt,因为我想尝试强行破解我自己的密码,看看如果真的那么“非常容易”需要多长时间。
短随机字符密码真的有危险吗?
答案
超级用户贡献者Josh K.强调了攻击者需要什么:
如果攻击者能够访问密码哈希,则通常很容易强行执行,因为它只需要散列密码,直到哈希匹配为止。
散列“强度”取决于密码的存储方式。与SHA-512哈希相比,MD5哈希生成所需的时间可能更短。
Windows过去(而且可能也不知道)以LM散列格式存储密码,该格式对密码进行超感知并将其拆分为两个7个字符块,然后对其进行散列。如果您有一个15个字符的密码,那就不重要了,因为它只存储了前14个字符,而且很容易使用暴力,因为您没有强制使用14个字符的密码,而是强制使用两个7个字符的密码。
如果你觉得需要,下载一个程序,如约翰开膛手或该隐&亚伯(链接保留),并测试它。
我记得能够为LM哈希每秒生成20万哈希。取决于Truecrapt存储哈希的方式,如果可以从锁定的卷中检索哈希,则可能会花费或多或少的时间。
当攻击者有大量哈希文件需要通过时,通常使用蛮力攻击。在浏览了一本普通字典之后,他们通常会开始用普通的暴力攻击来清除密码。编号密码最多10个,扩展字母和数字,字母数字和普通符号,字母数字和扩展符号。取决于攻击的目标,它可以导致不同的成功率。试图破坏一个帐户的安全通常不是目标。
另一位贡献者,Phoshi详述了这个想法:
蛮力不是一种可行的攻击。几乎从来没有过。如果攻击者对你的密码一无所知,他将无法通过2020年这一边的暴力。随着硬件的进步,这种情况在未来可能会发生变化(例如,我们可以使用所有的-许多现在的i7内核
如果你想-超级安全,插入一个扩展-ascii符号在那里(保持ALT,使用数字输入大于255)。这样做很大程度上保证了普通的蛮力是无用的。
您应该关注TrueCrypt加密算法中的潜在缺陷,这可能会使查找密码变得更加容易,当然,如果您正在使用的机器被破坏,那么世界上最复杂的密码也是无用的。
我们将注释Phoshi的回答为:“Brute-force不是一个可行的攻击,当使用复杂的当前一代加密,几乎永远”。
正如我们在最近的文章中所强调的,蛮力攻击解释:如何所有的加密是脆弱的,加密方案的年龄和硬件能力增加,所以这只是一个时间问题,它曾经是一个硬目标(如微软的NTLM密码加密算法)可以在几个小时内击败。
在解释中有什么要补充的吗?在评论中发出声音。想从其他精通技术的Stack Exchange用户那里读到更多答案吗?请看这里的完整讨论主题。
以上是 (使用短密码)短密码真的那么不安全吗? 的全部内容, 来源链接: utcz.com/wiki/670204.html
