Startseite » wie man » Sind kurze Passwörter wirklich unsicher?

    Sind kurze Passwörter wirklich unsicher?


    Sie kennen die Übung: Verwenden Sie ein langes und abwechslungsreiches Kennwort, verwenden Sie dasselbe Kennwort nicht zweimal, und verwenden Sie für jede Site ein anderes Kennwort. Ist mit einem kurzen Passwort wirklich so gefährlich?
    Die heutige Question & Answer-Sitzung wird dank SuperUser zur Verfügung gestellt - einer Unterteilung von Stack Exchange, einer Community-basierten Gruppierung von Q & A-Websites.

    Die Frage

    Der SuperUser-Leser user31073 ist neugierig, ob er diese Kurz-Passwort-Warnungen wirklich beachten sollte:

    Wenn ich bei Systemen wie TrueCrypt ein neues Kennwort definieren muss, wird mir oft mitgeteilt, dass die Verwendung eines kurzen Kennworts unsicher ist und "sehr leicht" durch Brute-Force gebrochen werden kann.

    Ich verwende immer Kennwörter mit 8 Zeichen Länge, die nicht auf Wörterbuchwörtern basieren. Diese bestehen aus Zeichen aus der Gruppe A-Z, a-z, 0-9

    Das heißt Ich verwende ein Passwort wie sDvE98f1

    Wie einfach ist es, ein solches Passwort mit Brute-Force zu knacken? Das heißt wie schnell.

    Ich weiß, dass es stark von der Hardware abhängt, aber vielleicht könnte mir jemand eine Schätzung geben, wie lange es dauern würde, um dies auf einem Dual-Core mit 2GHZ zu tun, oder was auch immer, um einen Referenzrahmen für die Hardware zu haben.

    Um ein solches Passwort brutal zu erzwingen, müssen nicht nur alle Kombinationen durchlaufen werden, sondern es muss auch versucht werden, mit jedem erratenen Passwort zu entschlüsseln, was ebenfalls einige Zeit benötigt.

    Gibt es auch eine Software, mit der TrueCrypt gehackt werden kann, weil ich versuchen möchte, mein eigenes Kennwort zu knacken, um zu sehen, wie lange es dauert, wenn es wirklich "sehr einfach" ist?.

    Sind kurze zufällige Kennwörter wirklich gefährdet?

    Die Antwort

    Der Superuser-Mitwirkende Josh K. hebt hervor, was der Angreifer benötigt:

    Wenn der Angreifer Zugriff auf den Kennwort-Hash erhalten kann, ist es oft sehr einfach, Gewalt zu erzwingen, da er lediglich Hashes benötigt, bis die Hashwerte übereinstimmen.

    Die Hash-Stärke hängt davon ab, wie das Passwort gespeichert wird. Ein MD5-Hash benötigt möglicherweise weniger Zeit zum Generieren als ein SHA-512-Hash.

    Windows pflegte (und weiß es immer noch nicht) Kennwörter in einem LM-Hash-Format zu speichern, das das Kennwort in Großbuchstaben formulierte und es in zwei 7-Zeichen-Blöcke aufteilte, die anschließend gehasht wurden. Wenn Sie ein 15-stelliges Passwort hätten, wäre dies nicht von Belang, da nur die ersten 14 Zeichen gespeichert wurden und es einfach war, Gewalt zu erzwingen, weil Sie nicht zwingend ein 14-stelliges Passwort erzwungen haben.

    Wenn Sie das Bedürfnis verspüren, laden Sie ein Programm wie John The Ripper oder Cain & Abel (Links enthält) herunter und testen Sie es.

    Ich erinnere mich daran, 200.000 Hashes pro Sekunde für einen LM-Hash erzeugen zu können. Je nachdem, wie Truecrypt den Hash speichert, und wenn er von einem gesperrten Volume abgerufen werden kann, kann dies mehr oder weniger Zeit in Anspruch nehmen.

    Brute-Force-Angriffe werden häufig verwendet, wenn der Angreifer eine große Anzahl von Hashwerten durchlaufen muss. Nachdem sie ein allgemeines Wörterbuch durchlaufen haben, beginnen sie häufig, Passwörter mit üblichen Brute-Force-Angriffen auszusondern. Nummerierte Passwörter bis zu zehn, erweiterte alphanumerische und alphanumerische und alphanumerische Symbole, alphanumerische und erweiterte Symbole. Je nach Angriffsziel kann es mit unterschiedlichen Erfolgsquoten führen. Der Versuch, insbesondere die Sicherheit eines Kontos zu gefährden, ist oft nicht das Ziel.

    Ein weiterer Mitwirkender, Phoshi, erweitert die Idee:

    Brute-Force ist kein Angriff, so ziemlich immer. Wenn der Angreifer nichts von Ihrem Kennwort weiß, kann er es bis 2020 nicht mit Brute-Force erreichen. Dies kann sich in der Zukunft ändern, da sich die Hardware weiterentwickelt. jetzt Kerne auf einem i7, was den Prozess massiv beschleunigt (obwohl er immer noch Jahre spricht))

    Wenn Sie -super- sicher sein möchten, stecken Sie dort ein Symbol für erweiterte Ascii (Halten Sie die Alt-Taste gedrückt und geben Sie eine Zahl größer als 255 mit dem Ziffernblock ein). Dadurch wird sichergestellt, dass eine einfache Brachialkraft nutzlos ist.

    Sie sollten über mögliche Fehler im Verschlüsselungsalgorithmus von truecrypt besorgt sein, die das Auffinden eines Kennworts erheblich erleichtern könnten. Natürlich ist das komplexeste Kennwort der Welt unbrauchbar, wenn der Computer, auf dem Sie es verwenden, gefährdet ist.

    Wir würden Phoshis Antwort kommentieren und lesen: "Brute-Force ist kein praktikabler Angriff, wenn hochentwickelte Verschlüsselung der aktuellen Generation verwendet wird", so ziemlich alles..

    Wie wir in unserem kürzlich erschienenen Artikel hervorgehoben haben, wurden Brute-Force-Angriffe erläutert: Wie alle Verschlüsselungen anfällig sind, Alterung und Verschlüsselung der Hardware zunehmen. Daher ist es nur eine Frage der Zeit, was früher ein hartes Ziel war (wie der NTLM-Verschlüsselungsalgorithmus von Microsoft). ist innerhalb von Stunden besiegt.


    Haben Sie der Erklärung etwas hinzuzufügen? Ton aus in den Kommentaren. Möchten Sie mehr Antworten von anderen technisch versierten Stack Exchange-Benutzern lesen? Hier geht es zum vollständigen Diskussionsthread.