¿Qué tan insegura es realmente mi contraseña corta?

17

Usando sistemas como TrueCrypt, cuando tengo que definir una nueva contraseña, a menudo me informan que usar una contraseña corta es inseguro y "muy fácil" de romper por fuerza bruta.

Siempre uso contraseñas de 8 caracteres de longitud, que no se basan en palabras del diccionario, que consisten en caracteres del conjunto AZ, az, 0-9

Es decir, uso una contraseña como sDvE98f1

¿Qué tan fácil es descifrar dicha contraseña por fuerza bruta? Es decir, qué rápido.

Sé que depende en gran medida del hardware, pero tal vez alguien podría darme una estimación de cuánto tiempo tomaría hacer esto en un núcleo dual con 2GHZ o lo que sea para tener un marco de referencia para el hardware.

Para atacar por fuerza forzada una contraseña de este tipo, no solo es necesario recorrer todas las combinaciones, sino también intentar descifrar con cada contraseña adivinada, que también necesita algo de tiempo.

Además, ¿hay algún software para hackear la fuerza bruta TrueCrypt?

security passwords truecrypt usuario31073
fuente
10
Bueno, ahora que nos ha dicho que sus contraseñas son siempre de 8 caracteres y no palabras del diccionario, lo ha hecho mucho más fácil ;-)
Josh
¡Maldición! Debería haber tomado una palabra del diccionario ... :)
user31073
Si realmente te preocupan las contraseñas, prueba KeePass . La administración de mi contraseña había alcanzado una masa crítica, luego KeePass cambió mi vida. Ahora solo tengo que recordar 2 contraseñas, una para iniciar sesión en mi computadora y otra para iniciar sesión en mi base de datos KeePass. Todas mis contraseñas (y la mayoría de mis nombres de usuario) ahora son únicas y extremadamente complejas, y usar un combo de nombre de usuario / contraseña es tan fácil como CTRL+ ALT+ Asi estoy conectado a KeePass.
ubiquibacon

Respuestas:

11

Si el atacante puede obtener acceso al hash de contraseña, a menudo es muy fácil aplicar fuerza bruta, ya que simplemente implica contraseñas hash hasta que los hash coincidan.

La "fuerza" del hash depende de cómo se almacena la contraseña. Un hash MD5 puede tardar menos tiempo en generarse que un hash SHA-512.

Windows solía (y aún no lo sé) almacenar contraseñas en un formato hash LM, que en mayúscula la contraseña y la dividió en dos fragmentos de 7 caracteres que luego fueron hash. Si tuviera una contraseña de 15 caracteres, no importaría porque solo almacenaba los primeros 14 caracteres, y era fácil forzar porque no estaba forzando una contraseña de 14 caracteres, estaba forzando dos contraseñas de 7 caracteres.

Si siente la necesidad, descargue un programa como John The Ripper o Cain & Abel (enlaces retenidos) y pruébelo.

Recuerdo haber podido generar 200,000 hashes por segundo para un hash LM. Dependiendo de cómo Truecrypt almacene el hash, y si se puede recuperar de un volumen bloqueado, podría llevar más o menos tiempo.

Los ataques de fuerza bruta se usan a menudo cuando el atacante tiene que pasar por un gran número de hashes. Después de ejecutar un diccionario común, a menudo comenzarán a eliminar las contraseñas con ataques comunes de fuerza bruta. Contraseñas numeradas hasta diez, símbolos alfabéticos y numéricos extendidos, alfanuméricos y comunes, símbolos alfanuméricos y extendidos. Dependiendo del objetivo del ataque, puede conducir con diferentes tasas de éxito. Intentar comprometer la seguridad de una cuenta en particular a menudo no es el objetivo.

Josh K
fuente
Gracias por esta respuesta Debería haber mencionado que normalmente uso RIPEMD-160 para la función hash. Y para la contraseña, con la forma en que la genero como se describió anteriormente, es 218340105584896 posible contraseña (26 + 26 + 10) ^ 8 (pero el atacante no lo sabe). Entonces, me pregunto si tales contraseñas son seguras contra ataques de fuerza bruta dentro de lo razonable (no estoy hablando de keyloggers, cryotricks o criptografía de manguera de goma, solo con respecto a la adivinación de contraseña de fuerza bruta). Y estoy usando principalmente TrueCrypt.
user31073
Solo para aclarar, respondió mi pregunta, basada en 200,000 para 218340105584896 combinaciones en 1 nodo que tomaría ~ 36 años, siempre que el atacante conozca la longitud de la contraseña. Esto también es lo que me da la calculadora en línea. ¡Gracias!
user31073
Si les es posible obtener el hash, entonces sí, es posible ejecutar un ataque de fuerza bruta. Si tienen éxito o no depende mucho de cuánto sepan sobre la contraseña y cuánto tiempo tengan. Respuesta actualizada
Josh K
3
Recuerde que 36 años se agilizan si precalcula los hash utilizando una red distribuida. Si usa 1000 computadoras, entonces eso se reduce a un número manejable.
Rich Bradshaw
1
También es bueno recordar que al aumentar la longitud de la contraseña, la dificultad aumenta enormemente. Si la contraseña de 8 caracteres tarda 36 años, al duplicar la longitud a 16 caracteres, el tiempo no se duplica, sino que salta a 7663387620052652 años. :)
Ilari Kajaste
4

Brute-Force no es un ataque viable , casi nunca. Si el atacante no sabe nada acerca de su contraseña, no la está obteniendo a través de la fuerza bruta en este lado de 2020. Esto puede cambiar en el futuro, a medida que avanza el hardware (por ejemplo, uno podría usar todos los muchos) ahora se basa en un i7, lo que acelera enormemente el proceso (sin embargo, todavía habla años)

Si desea ser -superseguro, pegue un símbolo de ascii extendido allí (Mantenga presionada la tecla alt, use el teclado numérico para escribir un número mayor que 255). Hacer eso garantiza que una fuerza bruta simple sea inútil.

Debería preocuparse por posibles fallas en el algoritmo de cifrado de truecrypt, lo que podría hacer que encontrar una contraseña sea mucho más fácil y, por supuesto, la contraseña más compleja del mundo es inútil si la máquina en la que la está utilizando está comprometida.

Phoshi
fuente
Si bien es cierto que los ataques de fuerza bruta rara vez tienen éxito contra un solo objetivo, si volcara la base de datos de usuario de un sitio web que usa MD5 para descifrar las contraseñas, podría cargarlos fácilmente y ejecutar una fuerza bruta contra eso con un límite de 6 caracteres, alfa +, numéricos y símbolos. No tendría el 100% de éxito, pero podría comprometer un número decente de las cuentas.
Josh K
Si la sal era estática, seguro. No debe ser Y eso no es realmente fuerza bruta, tampoco, solo está buscando contra una mesa de arco iris precalculada. Hay una razón por la que le ponemos sal a nuestros hash;)
Phoshi
¿Cuántos sitios web salan los hashes? ¿No es una mesa arcoiris simplemente un ataque de fuerza bruta comprimido en un archivo? ;) Mi punto es que si tienes 1000 usuarios con contraseñas, algunos de ellos seguramente tendrán contraseñas como 12blue.
Josh K
Si un sitio web no está salando su hash, lo están haciendo mal. Una tabla de arcoiris es solo cada valor posible, por lo que es como una fuerza bruta calculada previamente, cierto. El | l2bluetodavía no debe ser bruta para el cable con una buena sal, y todavía tomaría mucho tiempo pasar por eso. (2176782336 combinaciones posibles, suponiendo que el atacante sepa que es a-z0-9)
Phoshi
1
Es una mala idea usar símbolos ascii extendidos, a menos que esté bastante seguro de que la base de datos lo aceptará. La mayoría de las veces me dañé mi contraseña y el sistema no pudo hacerla coincidir con lo que escribo en el inicio de sesión, incluso si es exactamente lo mismo. Esto sucede porque Unicode todavía no es un estándar común y la codificación de texto es mal tratada en la mayoría de los lugares.
cregox
2

Puede usar esta herramienta en línea para una estimación http://lastbit.com/pswcalc.asp

Sebtm
fuente
¿Qué tan preciso es ese sitio?
Josh
1
@Josh; Parece que solo hace las matemáticas, por lo que es perfectamente preciso si se dan las contraseñas correctas / segundo valor.
Phoshi
¿Alguna idea de por qué howsecureismypassword.net dice que solo lleva 10 días descifrar esta contraseña?
sgmoore
1

EDITAR: Otros han dado buenas respuestas para la parte de su pregunta con respecto a "¿Qué tan fácil es descifrar dicha contraseña por fuerza bruta? Es decir, qué tan rápido"

Para abordar esta parte de su pregunta:

Además, ¿hay algún software para hackear la fuerza bruta TrueCrypt?

Aquí hay una variedad de opciones para Truecrypt de fuerza bruta

Aquí hay otro de la Universidad de Princeton.

Josh
fuente
Esto no responde a su pregunta sobre qué tan segura es su contraseña corta y, en cambio, presenta varios otros ataques en la plataforma Truecrypt.
Josh K
@ Josh K: No, responde a su pregunta, "Además, ¿hay algún software para hackear la fuerza bruta criptomoneda verdadera porque quiero tratar de descifrar mi propia contraseña para ver cuánto tiempo tarda si es realmente así? fácil'."
Josh
1
@Joshes ahora, ¡no peleen el uno con el otro! Ambos son en realidad la misma persona, ¿no?
cregox
No, en realidad no lo somos.
Josh K
0

La contraseña:

Esta es una contraseña simple pero larga.

es mucho más resistente a la fuerza bruta, incluidos los ataques basados ​​en el diccionario, que:

sDvE98f1

Por lo tanto, usar una contraseña corta pero difícil es simplemente contraproducente. Es más difícil de recordar y menos seguro.

Use una frase simple pero larga.

Thomas Bonini
fuente
¿fuente?
hyperslug
@hyper: ¿matemáticas simples de secundaria?
Thomas Bonini
1
Randall tiene una visualización útil sobre longitud vs complejidad: xkcd.com/936
Charles Lindsay