it-swarm-pt.tech

Quão seguras são as senhas com menos de 20 caracteres?

Recentemente, recebi uma recomendação para definir minha senha para mais de 20 caracteres. O algoritmo usado para criptografia é AES com uma chave primária de 256 bits. Quão segura é uma senha de, digamos, 8 caracteres contra ataques de força bruta para decifrar arquivos criptografados?

Eu sei que este é considerado um bom tamanho de senha na maioria dos sites. Uma razão para isso é que eles podem interromper um ataque após 3 tentativas ou mais.

9
cmserv

Este é um artigo interessante http://www.lockdown.co.uk/?pg=combi&s=articles detalha quanto tempo levaria teoricamente para uma senha de força bruta para comprimentos e conjuntos de símbolos diferentes.

4
Mark Davidson

Você pode querer apontar quem escreveu essa política em esta postagem do blog de Bruce Schneier .

É uma boa descrição de por que a força das senhas é o menor dos problemas de qualquer pessoa na web.

6
womble

Veja a resposta aceita em esta postagem . Mostra que mesmo uma senha de 8 caracteres usando toda a gama de caracteres pode levar aproximadamente 10.000 anos para ser descoberta!

4
Marko Carter

Se você contar o uso de tabelas Rainbow como força bruta (as opiniões variam), então, para 8 caracteres, usando tabelas Rainbow que incluem todos os caracteres da senha, cerca de 10 segundos. Senha de 20 caracteres (mesmos caracteres, mesmas tabelas Rainbow), menos de 30 segundos. O problema é que leva um longo tempo para gerar as tabelas. O meu demorou cerca de um mês para gerar em uma máquina de 3GHz processando apenas à noite. Por outro lado, você só precisa fazer isso uma vez.

O problema de tentar lembrar senhas longas é facilmente resolvido por uma combinação de substituição de caracteres e uso de uma frase. Mesmo algo tão simples um "# Fr3ddy M3rcury #" é complexo o suficiente para a maioria dos usos, mas é incrivelmente fácil de lembrar.

3
John Gardeniers

Considere que uma senha de oito caracteres pode ser lembrada. Uma senha de 20 caracteres será será escrita.

E então alguém pode ler.

2
John Saunders

Você pode estar interessado no artigo " Passwords vs Passphrases ". A conclusão deles é que uma senha de 9 caracteres totalmente aleatória equivale a uma senha de 6 palavras. Mas eles acham que uma frase de 6 palavras seria mais fácil de lembrar.

2
Josh

Tudo depende dos caracteres que você usa, pois isso altera o número de combinações que você tem. Supondo 8 caracteres:

  • Palavras do dicionário:

    egrep "^. {8} $"/usr/share/dict/words | wc -l 
     15601
  • Letras minúsculas: 268 ou 208827064576

  • Letras minúsculas e maiúsculas: 528 ou 53459728531456

  • Inferior, superior e números: 628 ou 218340105584896

Adicionar pontuação e outros símbolos e a força bruta levará algum tempo.

Esses números são as combinações totais que terão de ser experimentadas. Obviamente, um hacker não tentará todas as combinações depois de obter a senha, então divida por dois para obter o número médio de combinações necessárias.

Hashes mais difíceis resultam em um tempo de CPU mais longo para calcular o hash, portanto, o tempo total é mais longo. Um exemplo de john:

 
 Comparação: Tradicional DES [64/64 BS] ... FEITO 
 Muitos sais: 819187 c/s real, 828901 c/s virtual 
 Apenas um sal: 874717 c/s real, 877462 c/s virtual 
 
 Comparativo: BSDI DES (x725) [64/64 BS] ... FEITO 
 Muitos sais: 29986 c/s real, 30581 c/s virtual 
 Apenas um sal: 29952 c/s real, 30055 c/s virtual 
 
 Benchmarking: FreeBSD MD5 [32/64 X2] ... FEITO 
 Raw: 8761 c/s real, 8796 c/s virtual 
 
 Benchmarking : OpenBSD Blowfish (x32) [32/64] ... CONCLUÍDO 
 Raw: 354 c/s real, 356 c/s virtual 
 
 Benchmarking: Kerberos AFS DES [48/64 4K] ... FEITO 
 Curto: 294507 c/s real, 295754 c/s virtual 
 Longo: 858582 c/s real, 863887 c/s virtual 
 
 Comparativo: NT LM DES [64/64 BS] ... FEITO 
 Bruto: 6379K c/s real, 6428K c/s virtual 
 
 Comparação: NT MD4 [Genérico 1x] ... FEITO 
 Bruto: 7270K c/s real, 7979K c/s virtual 
 [.__ __.] Comparativo: M $ Cache Hash [Genérico 1x] ... CONCLUÍDO 
 Muitos sais: 12201K c/s real, 12662K c/s virtual 
 Apenas um sal: 4862K c/s real , 4870K c/s virtual 
 
 Comparação: LM C/R DES [netlm] ... FEITO 
 Muitos sais: 358487 c/s real, 358487 c/s virtual 
 Apenas um sal: 348363 c/s real, 348943 c/s virtual 
 
 Comparativo: NTLMv1 C/R MD4 DES [netntlm] ... FEITO 
 Muitos sais: 510255 c/s real, 512124 c/s virtual 
 Apenas um sal: 488277 c/s real, 489416 c/s virtual

Claro que tudo isso é completamente acadêmico, porque os hackers vão simplesmente ligar para sua secretária dizendo que eles são de TI e precisam da senha para alguma coisa e que sua senha forte não tem valor.

1
David Pashley

Eu uso senhas não triviais para proteger

 * ativos que são importantes 
 * coisas que não sujeito a anti-hammering (bloqueio após tentativas repetidas) 
 * material que pode ser exposto a ataques de força bruta/baseados em dicionário/híbridos 

Estou menos preocupado com minha conta do gmail, uma vez que tentativas de força bruta de quebrar essa senha simplesmente bloquearão a conta (e qualquer pessoa com acesso ao servidor iria apenas substituir o hash por um de sua escolha, não tentar quebrá-lo).

A melhor senha é longa (> 12 caracteres) e criptograficamente aleatória. No entanto, esses são mais difíceis de lembrar. Portanto, uma frase secreta que combine várias palavras com caracteres aparentemente aleatórios pode ser um bom meio-termo (talvez as primeiras 1 ou 2 letras das primeiras linhas de sua letra de música favorita).

1
Garrett

Existe a segurança que você obtém ao se comunicar com cliente/servidor, por exemplo, como você disse, quando você consegue parar os invasores após 3 tentativas (quando eles atacam pela rede, como acontece com os aplicativos da web). Com este cenário, quase qualquer comprimento de senha pode ser considerado suficiente.

Se, no entanto, um insider pegar esse banco de dados com senhas curtas com hash e for capaz de contornar a limitação "pela rede" de 3 tentativas, o jogo muda.

A advertência com a limitação do número de tentativas por conta é que isso será suficiente apenas para tentativas direcionadas em uma conta específica. Você também precisa se proteger contra o ataque em todas as contas com uma determinada senha (ou permutada) - isso não acionará nenhum alarme quando você limitar o número de tentativas por conta. Dado o NAT e os botnets de hoje, você nem pode argumentar que limitar o número de tentativas por IP é uma boa maneira de pensar em segurança.

Bons recursos para leitura já foram dados em outras respostas.

0
Olaf