Насколько небезопасен мой короткий пароль?

Question

При использовании таких систем, как TrueCrypt, когда мне приходится определять новый пароль, мне часто сообщают, что использование короткого пароля небезопасно и "очень легко" взломать методом перебора.

Я всегда использую пароли длиной 8 символов, которые не основаны на словарных словах, которые состоят из символов из набора AZ, az, 0-9

Т.е. Я использую пароль как sDvE98f1

Насколько легко взломать такой пароль грубой силой? Т.е. как быстро.

Я знаю, что это сильно зависит от аппаратного обеспечения, но, может быть, кто-нибудь подскажет, сколько времени потребуется, чтобы сделать это на двухъядерном процессоре с тактовой частотой 2 ГГц или что-то еще, чтобы иметь ориентир для аппаратного обеспечения.

Чтобы атаковать с помощью bruute-force такого пароля, нужно не только циклически проходить все комбинации, но также пытаться расшифровывать каждый угаданный пароль, что также требует некоторого времени.

Кроме того, есть ли какое-то программное обеспечение для взлома "грубой силы" truecrypt, потому что я хочу попытаться взломать мой собственный пароль, чтобы узнать, сколько времени это займет, если это действительно так "очень просто".

Answer 1

Если злоумышленник может получить доступ к хэшу пароля, его очень легко переборить, поскольку он просто влечет за собой хеширование паролей до совпадения хэшей.

Надежность хэша зависит от того, как хранится пароль. Для создания хэша MD5 может потребоваться меньше времени, чем для хэша SHA-512.

Windows обычно (и может все еще, я не знаю) хранит пароли в формате хэша LM, который вводит верхний регистр пароля и разделяет его на два 7-символьных блока, которые затем хэшируются. Если у вас был 15-символьный пароль, это не имело бы значения, потому что в нем хранились только первые 14 символов, и было просто перебор, потому что вы не переборщили 14-символьный пароль, вы просто взяли два 7-символьных пароля.

Если вы чувствуете необходимость, скачайте такую программу, как John The Ripper или Cain & Abel (ссылки удержаны) и протестируйте ее.

Я помню возможность генерировать 200 000 хэшей в секунду для хэша LM. В зависимости от того, как Truecrypt хранит хеш, и если его можно извлечь из заблокированного тома, это может занять больше или меньше времени.

Атаки грубой силой часто используются, когда атакующему нужно пройти через большое количество хэшей. После пробежки по общему словарю они часто начинают отсеивать пароли с помощью обычных атак методом перебора. Пронумерованные пароли до десяти, расширенные буквенно-цифровые, буквенно-цифровые и общие символы, буквенно-цифровые и расширенные символы. В зависимости от цели атаки это может привести к различным показателям успеха. Попытка поставить под угрозу безопасность одной учетной записи, в частности, часто не является целью.

Answer 2

Brute-Force не является жизнеспособной атакой, почти всегда. Если злоумышленник ничего не знает о вашем пароле, он не получит его путем перебора на этой стороне 2020 года. Это может измениться в будущем, по мере развития аппаратного обеспечения (например, на i7 можно было бы использовать все ядра, сколько бы у него было сейчас, что значительно ускорило процесс (хотя все еще говорят годы)

Если вы хотите быть -super-secure, вставьте туда символ расширенной-ascii (удерживайте alt, используйте цифровую клавиатуру, чтобы ввести число больше 255). Это в значительной степени гарантирует, что грубая сила бесполезна.

Вы должны быть обеспокоены потенциальными недостатками алгоритма шифрования truecrypt, которые могут значительно упростить поиск пароля, и, конечно, самый сложный пароль в мире бесполезен, если компьютер, на котором вы его используете, скомпрометирован.

Answer 3

Вы можете использовать этот онлайн-инструмент для оценки http://lastbit.com/pswcalc.asp

Answer 4

РЕДАКТИРОВАТЬ: Другие дали хорошие ответы на часть вашего вопроса относительно "Насколько легко взломать такой пароль с помощью грубой силы? Т.е. как быстро

Чтобы ответить на эту часть вашего вопроса:

Кроме того, есть ли какое-то программное обеспечение для взлома "грубой силы" truecrypt, потому что я хочу попытаться взломать мой собственный пароль, чтобы узнать, сколько времени это займет, если это действительно так "очень просто".

Вот множество вариантов брутфорса Truecrypt

Вот еще один из Принстонского университета.

Answer 5

В стоге сена GRC сказали, что для взлома вашего пароля при автономной атаке потребуется 36,99 минут. https://www.grc.com/haystack.htm

Answer 6

Пароль:

Это простой, но длинный пароль.

значительно более устойчив к грубой силе, включая атаки по словарю, чем:

sDvE98f1

Поэтому использование короткого, но сложного пароля просто непродуктивно. Это сложнее запомнить и менее безопасно.

Используйте простую, но длинную фразу.