क्या छोटे पासवर्ड वाकई असुरक्षित हैं?
आप ड्रिल जानते हैं: एक लंबे और विविध पासवर्ड का उपयोग करें, एक ही पासवर्ड का दो बार उपयोग न करें, हर साइट के लिए एक अलग पासवर्ड का उपयोग करें। वास्तव में खतरनाक है कि एक छोटे पासवर्ड का उपयोग कर रहा है?
आज का प्रश्न और उत्तर सत्र सुपरयूज़र के सौजन्य से आता है-स्टैक एक्सचेंज का एक उपखंड, क्यू एंड ए वेब साइटों का एक समुदाय-संचालित समूह है।.
प्रश्न
SuperUser पाठक user31073 उत्सुक है कि क्या उसे वास्तव में उन शॉर्ट-पासवर्ड चेतावनियों पर ध्यान देना चाहिए:
TrueCrypt जैसे सिस्टम का उपयोग करते समय, जब मुझे एक नया पासवर्ड परिभाषित करना होता है, तो मुझे अक्सर सूचित किया जाता है कि एक संक्षिप्त पासवर्ड का उपयोग करना असुरक्षित और "बहुत आसान है" जानवर द्वारा बलपूर्वक तोड़ना.
मैं हमेशा लंबाई में 8 वर्णों के पासवर्ड का उपयोग करता हूं, जो शब्दकोश शब्दों पर आधारित नहीं हैं, जिसमें सेट ए-जेड, ए-जेड, 0-9 से वर्ण शामिल हैं
अर्थात। मैं sDvE98f1 जैसे पासवर्ड का उपयोग करता हूं
ब्रूट-फोर्स द्वारा ऐसे पासवर्ड को क्रैक करना कितना आसान है? अर्थात। कितना तेज.
मुझे पता है कि यह हार्डवेयर पर बहुत अधिक निर्भर करता है, लेकिन हो सकता है कि कोई मुझे यह अनुमान दे सकता है कि 2GHZ के साथ दोहरे कोर पर ऐसा करने में कितना समय लगेगा या हार्डवेयर के लिए संदर्भ का कोई भी फ्रेम होगा।.
ऐसे पासवर्ड पर हमला करने के लिए न केवल सभी संयोजनों के माध्यम से साइकिल चलाने की जरूरत है, बल्कि प्रत्येक अनुमानित पासवर्ड के साथ डिक्रिप्ट करने की भी कोशिश करनी चाहिए, जिसमें कुछ समय की जरूरत होती है.
इसके अलावा, ट्रू-क्रिप्ट हैक करने के लिए ब्रूट-फोर्स हैक करने के लिए कुछ सॉफ्टवेयर है क्योंकि मैं अपने खुद के पासवर्ड को क्रैक करने की कोशिश करना चाहता हूं, यह देखने के लिए कि यह वास्तव में बहुत आसान है तो कितना समय लगता है।.
वास्तव में जोखिम में कम यादृच्छिक-चरित्र पासवर्ड हैं?
उत्तर
सुपरयूजर के योगदानकर्ता जोश के। पर प्रकाश डाला गया कि हमलावर को क्या चाहिए:
यदि हमलावर पासवर्ड हैश तक पहुँच प्राप्त कर सकता है, तो बल को भंग करना अक्सर बहुत आसान होता है क्योंकि यह हैश मैच तक केवल हैशिंग पासवर्ड दर्ज करता है।.
हैश "स्ट्रेंथ" इस बात पर निर्भर करता है कि पासवर्ड कैसे संग्रहीत किया जाता है। एक MD5 हैश को तब SHA-512 हैश उत्पन्न करने में कम समय लग सकता है.
Windows का उपयोग (और अभी भी हो सकता है, मुझे नहीं पता) पासवर्ड को LM हैश प्रारूप में संग्रहीत करता है, जिसने पासवर्ड को अपरकेस किया और इसे दो 7 वर्ण चंक्स में विभाजित किया जो तब हैशेड थे। यदि आपके पास 15 वर्ण का पासवर्ड है, तो इससे कोई फर्क नहीं पड़ेगा क्योंकि यह केवल पहले 14 वर्णों को संग्रहीत करता है, और बल को भंग करना आसान था क्योंकि आप 14 वर्ण पासवर्ड के लिए बाध्य नहीं थे, आप दो 7 वर्ण पासवर्ड के लिए बाध्य थे.
यदि आपको आवश्यकता महसूस होती है, तो जॉन द रिपर या कैन एंड एबेल (लिंक को रोक दिया गया) जैसे प्रोग्राम को डाउनलोड करें और उसका परीक्षण करें.
मुझे याद है कि एलएम हैश के लिए 200,000 हैश सेकेंड उत्पन्न करने में सक्षम है। यह निर्भर करता है कि Truecrypt कैसे हैश को स्टोर करता है, और यदि इसे लॉक वॉल्यूम से पुनर्प्राप्त किया जा सकता है, तो यह अधिक या कम समय ले सकता है.
ब्रूट बल के हमलों का अक्सर उपयोग किया जाता है जब हमलावर के पास से गुजरने के लिए बड़ी संख्या में हैश होते हैं। एक आम शब्दकोश के माध्यम से चलने के बाद वे अक्सर आम जानवर बल के हमलों के साथ पासवर्ड बाहर निकालना शुरू कर देंगे। दस तक के पासवर्ड, विस्तारित अल्फा और न्यूमेरिक, अल्फ़ान्यूमेरिक और कॉमन सिंबल, अल्फ़ान्यूमेरिक और एक्सटेंडेड सिंबल। हमले के लक्ष्य के आधार पर यह अलग-अलग सफलता दर के साथ नेतृत्व कर सकता है। विशेष रूप से एक खाते की सुरक्षा से समझौता करने का प्रयास अक्सर लक्ष्य नहीं होता है.
एक अन्य योगदानकर्ता, फोजी ने इस विचार पर विस्तार दिया:
ब्रूट-फोर्स एक व्यवहार्य हमला नहीं है, बहुत ज्यादा कभी। यदि हमलावर को आपके पासवर्ड के बारे में कुछ भी पता नहीं है, तो वह 2020 के इस पक्ष के माध्यम से इसे बल के माध्यम से प्राप्त नहीं कर रहा है। यह भविष्य में बदल सकता है, हार्डवेयर एडवांस के रूप में (उदाहरण के लिए, कोई भी सभी बहुत-से-उपयोग कर सकता है- अब i7 पर कोर, सामूहिक रूप से प्रक्रिया को तेज कर रहा है (फिर भी बात कर रहे साल, हालांकि)
यदि आप सुरक्षित होना चाहते हैं, तो वहां पर एक विस्तारित-असिसी प्रतीक चिपकाएं (Alt दबाए रखें, संख्या का उपयोग 255 से बड़ी संख्या में टाइप करने के लिए करें)। ऐसा करना बहुत अधिक विश्वास दिलाता है कि एक सादा जानवर-बल बेकार है.
आपको ट्रुकक्रिप्ट के एन्क्रिप्शन एल्गोरिथ्म में संभावित खामियों के बारे में चिंतित होना चाहिए, जो पासवर्ड को बहुत आसान बना सकता है, और निश्चित रूप से, दुनिया में सबसे जटिल पासवर्ड बेकार है अगर मशीन आप उस पर उपयोग कर रहे हैं तो समझौता किया जाता है.
हम Phoshi के जवाब को पढ़ने के लिए एनोटेट करेंगे "क्रूर-बल एक व्यवहार्य हमला नहीं है, जब परिष्कृत वर्तमान पीढ़ी एन्क्रिप्शन का उपयोग करते हुए, कभी भी".
जैसा कि हमने अपने हालिया लेख में, ब्रूट-फोर्स अटैक्स समझाया: कैसे सभी एन्क्रिप्शन कमजोर है, एन्क्रिप्शन योजनाओं की उम्र और हार्डवेयर की शक्ति बढ़ जाती है, इसलिए यह केवल कुछ समय पहले की बात है जो एक कठिन लक्ष्य की तरह हुआ करता था (जैसे Microsoft का NTLI पासवर्ड एन्क्रिप्शन एल्गोरिथ्म) कुछ ही घंटों में पराजित हो जाता है.
स्पष्टीकरण में कुछ जोड़ना है? टिप्पणियों में ध्वनि बंद। अन्य टेक-सेवी स्टैक एक्सचेंज उपयोगकर्ताओं से अधिक उत्तर पढ़ना चाहते हैं? पूरी चर्चा धागा यहाँ देखें.