मुझे हाल ही में 20 से अधिक वर्णों के लिए अपना पासवर्ड सेट करने के लिए एक सिफारिश मिली है। एन्क्रिप्शन के लिए उपयोग किया जाने वाला एल्गोरिथ्म 256 बिट प्राथमिक कुंजी के साथ एईएस है। कितना सुरक्षित है, मान लीजिए, एन्क्रिप्टेड फ़ाइलों को डिक्रिप्ट करने के लिए जानवर बल के हमलों के खिलाफ 8 चार पासवर्ड?
मुझे पता है कि यह अधिकांश वेबसाइटों पर एक अच्छा पासवर्ड आकार माना जाता है। इसका एक कारण यह है कि वे 3 अटेम्प्ट या उसके बाद किसी हमले को रोक सकते हैं।
जवाबों:
यह एक दिलचस्प लेख है http://www.lockdown.co.uk/?pg=combi&s=articles यह ब्योरा देता है कि सैद्धांतिक रूप से डिफरेंट लेंथ और सिंबल सेट के लिए पासवर्ड को बाध्य करने में कितना समय लगेगा।
आप यह बताना चाह सकते हैं कि ब्रूस श्नेयर की इस ब्लॉग पोस्ट पर जिसने भी यह नीति लिखी है ।
यह एक अच्छा राइटअप है कि पासवर्ड की ताकत वेब पर किसी की समस्याओं के कम से कम क्यों हैं।
इस पोस्ट में स्वीकृत उत्तर को देखें । दिखाता है कि वर्णों की पूरी श्रृंखला का उपयोग करके भी एक 8 वर्ण का पासवर्ड दरार में ~ 10,000 साल लग सकते हैं!
यदि आप इन्द्रधनुषी तालिकाओं के उपयोग को क्रूर बल के रूप में गिनते हैं (मत भिन्न होते हैं) तो 8 वर्णों के लिए, इंद्रधनुष की तालिकाओं का उपयोग करना जिसमें पासवर्ड में सभी वर्ण शामिल हैं, लगभग 10 सेकंड। 20 वर्ण पासवर्ड (समान वर्ण, समान इंद्रधनुष सारणी), 30 सेकंड से कम। पकड़ यह है कि तालिकाओं को बनाने में लंबा समय लगता है । रात में केवल 3GHz मशीन प्रोसेसिंग पर जेनरेट होने में मेरा एक महीने का समय लगा। दूसरी ओर, आपको केवल एक बार ऐसा करने की आवश्यकता है।
लंबे पासवर्ड को याद रखने की कोशिश करने का मुद्दा चरित्र प्रतिस्थापन के संयोजन और वाक्यांश का उपयोग करके आसानी से हल किया जाता है। यहां तक कि कुछ सरल "# Fr3ddy M3rcury #" अधिकांश उपयोगों के लिए पर्याप्त जटिल है, फिर भी उल्लेखनीय रूप से याद रखना आसान है।
इस बात पर विचार करें कि आठ वर्ण वाला पासवर्ड याद रखा जा सकता है। 20-वर्ण का पासवर्ड नीचे लिखा जाएगा।
और फिर कोई इसे पढ़ सकता है।
आपको लेख " पासवर्ड बनाम पासफ़्रेज़ " में रुचि हो सकती है । उनका निष्कर्ष यह है कि एक 9 अक्षर पूरी तरह से यादृच्छिक पासवर्ड एक 6 शब्द पास वाक्यांश के बराबर है। लेकिन उन्हें लगता है कि एक 6 शब्द वाक्यांश को याद रखना आसान होगा।
यह सब आपके द्वारा उपयोग किए जाने वाले वर्णों पर निर्भर करता है, क्योंकि इससे आपके संयोजन की संख्या में परिवर्तन होता है। 8 वर्ण मानकर:
शब्दकोश शब्द:
egrep "^। {8} $" / usr / शेयर / तानाशाही / शब्द | wc -l
15601लोअर केस लेटर्स: 26 8 या 208827064576
निचले और ऊपरी मामले पत्र: 52 8 या 53459728531456
निचला, ऊपरी और संख्या: 62 8 या 218340105584896
विराम चिह्न और अन्य प्रतीकों को जोड़ें और ब्रूट फोर्सिंग में कुछ समय लगने वाला है।
वे संख्याएं कुल संयोजन हैं जिन्हें आजमाया जाने वाला है। जाहिर है, एक हैकर को पासवर्ड मिल जाने के बाद हर संयोजन को आजमाने की जरूरत नहीं होती है, इसलिए आवश्यक संयोजनों की औसत संख्या प्राप्त करने के लिए दो से भाग दें।
हैडर की गणना करने के लिए हार्डर हैश के परिणामस्वरूप लंबे समय तक सीपीयू होता है, इसलिए कुल समय लंबा होता है। जॉन से एक उदाहरण:
बेंचमार्किंग: ट्रेडिशनल डेस [64/64 बीएस] ... हो गया कई लवण: 819187 c / s वास्तविक, 828901 c / s आभासी केवल एक नमक: 874717 c / s असली, 877462 c / s आभासी बेंचमार्किंग: BSDI DES (x725) [64/64 BS] ... हो गया कई लवण: 29986 c / s असली, 30581 c / s आभासी केवल एक नमक: 29952 c / s असली, 30055 c / s आभासी बेंचमार्किंग: फ्रीबीएसडी एमडी 5 [32/64 एक्स 2] ... हो गया कच्चा: 8761 c / s असली, 8796 c / s आभासी बेंचमार्किंग: ओपनबीएसडी ब्लोफिश (x32) [32/64] ... हो गया कच्चा: 354 c / s असली, 356 c / s आभासी बेंचमार्किंग: केर्बरोस एएफएस डेस [48/64 4K] ... हो गया संक्षिप्त: 294507 c / s वास्तविक, 295754 c / s आभासी लंबा: 858582 c / s असली, 863887 c / s आभासी बेंचमार्किंग: NT LM DES [64/64 BS] ... हो गया कच्चा: 6379K c / s वास्तविक, 6428K c / s आभासी बेंचमार्किंग: NT MD4 [जेनेरिक 1x] ... हो गया कच्चा: 7270K c / s असली, 7979K c / s आभासी बेंचमार्किंग: एम $ कैश हैश [जेनेरिक 1x] ... हो गया कई लवण: 12201K c / s वास्तविक, 12662K c / s आभासी केवल एक नमक: 4862K c / s असली, 4870K c / s आभासी बेंचमार्किंग: LM C / R DES [netlm] ... हो गया कई लवण: 358487 c / s असली, 358487 c / s आभासी केवल एक नमक: 348363 c / s असली, 348943 c / s आभासी बेंचमार्किंग: NTLMv1 C / R MD4 DES [netntlm] ... हो गया कई लवण: 510255 c / s वास्तविक, 512124 c / s आभासी केवल एक नमक: 488277 सी / एस असली, 489416 सी / एस आभासी
बेशक यह सब पूरी तरह से अकादमिक है, क्योंकि हैकर सिर्फ आपके सचिव को फोन करके बताएंगे कि वे आईटी से हैं और उन्हें किसी चीज के लिए पासवर्ड की जरूरत है और आपका मजबूत पासवर्ड बेकार है।
रक्षा के लिए मैं गैर-तुच्छ पासफ़्रेज़ का उपयोग करता हूं
* संपत्ति जो महत्वपूर्ण हैं * सामान जो एंटी-हैमरिंग के अधीन नहीं है (दोहराया प्रयासों के बाद लॉक-आउट) * ऐसे सामान जो गर्भधारण करने के लिए क्रूरता-मजबूर / शब्दकोश-आधारित / संकर हमलों के संपर्क में हो सकते हैं
मैं अपने gmail खाते से कम चिंतित हूँ, क्योंकि उस पासवर्ड को क्रैक करने के लिए brut-force प्रयास केवल खाते को लॉक करेगा (और सर्वर तक पहुंच वाला कोई भी व्यक्ति केवल हैश को अपने किसी एक चयन से बदल देगा, इसे क्रैक करने का प्रयास नहीं करेगा)।
सबसे अच्छा पासफ़्रेज़ लंबा (> 12 वर्ण) और क्रिप्टोग्राफिक रूप से यादृच्छिक है। हालांकि, उन लोगों को याद रखना अधिक कठिन है। तो, एक ऐसा शब्दचित्र जो प्रतीत होने वाले यादृच्छिक वर्णों के साथ कई शब्दों को जोड़ता है, एक अच्छा समझौता हो सकता है (शायद आपके पसंदीदा गीत गीत के पहले युगल लाइनों के पहले 1 या 2 अक्षर)।
ग्राहक / सर्वर से संवाद करने से आपको जो सुरक्षा मिलती है, जैसे आपने कहा, जब आप 3 प्रयासों के बाद हमलावरों को रोकने में सक्षम होते हैं (जब वे वेब अनुप्रयोगों के साथ नेटवर्क पर हमला करते हैं)। इस परिदृश्य के साथ, पासवर्ड की लगभग किसी भी लंबाई को पर्याप्त रूप से तर्क दिया जा सकता है।
यदि कोई अंदरूनी सूत्र इस डेटाबेस को हैशेड शॉर्ट पासवर्ड के साथ पकड़ लेता है और 3 प्रयासों के "ओवर द नेट" सीमा को बायपास करने में सक्षम है, तो खेल बदल जाता है।
प्रति खाते में प्रयासों की संख्या को सीमित करने के साथ चेतावनी यह है कि यह केवल एक विशिष्ट खाते में लक्षित प्रयासों के लिए पर्याप्त होगा। आपको किसी दिए गए (या क्रमबद्ध) पासवर्ड के साथ सभी खातों पर हमले से बचाने की आवश्यकता है - जब आप केवल प्रति खाते में प्रयासों की संख्या को सीमित करते हैं तो यह किसी भी अलार्म को ट्रिगर नहीं करेगा। आज NAT और botnets को देखते हुए, आप यह भी तर्क नहीं दे सकते कि प्रति आईपी प्रयासों की संख्या को सीमित करना सोच सुरक्षा का एक अच्छा तरीका है।
पढ़ने के लिए अच्छे संसाधन पहले से ही अन्य उत्तरों में दिए गए हैं।