Pagina inicial » como » As senhas curtas são realmente tão inseguras?

    As senhas curtas são realmente tão inseguras?


    Você sabe o que fazer: use uma senha longa e variada, não use a mesma senha duas vezes, use uma senha diferente para cada site. Está usando uma senha curta realmente que perigoso?
    A sessão de perguntas e respostas de hoje nos é oferecida por cortesia do SuperUser - uma subdivisão do Stack Exchange, um agrupamento de sites de perguntas e respostas conduzido pela comunidade..

    A questão

    O usuário do SuperUser user31073 está curioso para saber se ele realmente deveria atender aos avisos de senha curta:

    Usando sistemas como o TrueCrypt, quando tenho que definir uma nova senha, sou frequentemente informado de que usar uma senha curta é inseguro e “muito fácil” de quebrar pela força bruta..

    Eu sempre uso senhas de 8 caracteres de comprimento, que não são baseadas em palavras do dicionário, que consiste em caracteres do conjunto A-Z, a-z, 0-9

    Ou seja Eu uso senha como sDvE98f1

    Quão fácil é quebrar essa senha com força bruta? Ou seja quão rápido.

    Eu sei que depende muito do hardware, mas talvez alguém poderia me dar uma estimativa de quanto tempo levaria para fazer isso em um dual core com 2GHZ ou qualquer outra coisa para ter um quadro de referência para o hardware.

    Para atacar com força bruta, é necessário não apenas percorrer todas as combinações, mas também tentar decifrar com cada senha adivinhada, que também precisa de algum tempo..

    Além disso, existe algum software para força bruta hack TrueCrypt porque eu quero tentar brute-force crack minha própria senha para ver quanto tempo leva se é realmente que "muito fácil".

    As senhas curtas de caracteres aleatórios estão realmente em risco??

    A resposta

    O colaborador do SuperUser, Josh K., destaca o que o invasor precisaria:

    Se o invasor puder obter acesso ao hash de senha, ele geralmente será muito fácil para a força bruta, já que ele simplesmente envolve a conversão de senhas até que os hashes correspondam..

    O hash “força” depende de como a senha é armazenada. Um hash MD5 pode levar menos tempo para gerar um hash SHA-512.

    O Windows costumava (e ainda assim eu não sei) armazenar senhas em um formato de hash LM, que usava a senha em maiúsculas e a dividia em dois blocos de 7 caracteres que eram então divididos em hash. Se você tivesse uma senha de 15 caracteres, não importaria, porque ela armazenava apenas os 14 primeiros caracteres, e era fácil forçar a força bruta, porque você não foi brutal forçando uma senha de 14 caracteres, você foi brutal forçando duas senhas de 7 caracteres.

    Se você sentir necessidade, baixe um programa como John The Ripper ou Cain & Abel (links retidos) e teste-o.

    Lembro-me de poder gerar 200.000 hashes por segundo para um hash LM. Dependendo de como o Truecrypt armazena o hash, e se ele puder ser recuperado de um volume bloqueado, pode levar mais ou menos tempo.

    Ataques de força bruta são freqüentemente usados ​​quando o atacante tem um grande número de hashes para passar. Depois de percorrer um dicionário comum, eles geralmente iniciam a remoção de senhas com ataques de força bruta comuns. Senhas numeradas até dez, símbolos alfa e numéricos, alfanuméricos e comuns estendidos, símbolos alfanuméricos e estendidos. Dependendo do objetivo do ataque, ele pode levar a taxas de sucesso variáveis. A tentativa de comprometer a segurança de uma conta em particular geralmente não é o objetivo.

    Outro colaborador, Phoshi expande a ideia:

    Brute-Force não é um ataque viável, praticamente sempre. Se o invasor não sabe nada sobre sua senha, ele não está conseguindo através da força bruta neste lado de 2020. Isso pode mudar no futuro, à medida que o hardware avança (por exemplo, pode-se usar todos os agora núcleos em um i7, massivamente acelerando o processo (Ainda falando anos, no entanto))

    Se você quiser estar super seguro, coloque um símbolo ascii-ascii lá (segure alt, use o numpad para digitar um número maior que 255). Fazer isso praticamente garante que uma força bruta simples é inútil.

    Você deve estar preocupado com possíveis falhas no algoritmo de criptografia do TrueCrypt, que pode tornar a localização de uma senha muito mais fácil e, é claro, a senha mais complexa do mundo é inútil se a máquina na qual você está usando estiver comprometida..

    Gostaríamos de anotar a resposta de Phoshi para ler "A força bruta não é um ataque viável, ao usar criptografia sofisticada da geração atual, praticamente sempre".

    Como destacamos em nosso recente artigo, Ataques à Brute Explained: Como toda a criptografia é vulnerável, idade de esquemas de criptografia e poder de hardware aumentam então é apenas uma questão de tempo antes do que costumava ser um alvo difícil (como o algoritmo de criptografia de senha NTLM da Microsoft) é derrotável em questão de horas.

    Tem algo a acrescentar à explicação? Soe fora nos comentários. Quer ler mais respostas de outros usuários do Stack Exchange com experiência em tecnologia? Confira o tópico de discussão completo aqui.

    Há algum benefício de conectar seu mouse a uma porta USB 3.0?
    Há algum risco no uso de cabos Y com dispositivos periféricos USB?
    As recompensas de jogos zSilver da Razer valem a pena?
    Artigo seguinte
    As fechaduras inteligentes são seguras?
    Artigo anterior
    Os sites prontos estão matando web design?