20 वर्ण से कम लंबाई वाले पासवर्ड कितने सुरक्षित हैं?


10

मुझे हाल ही में 20 से अधिक वर्णों के लिए अपना पासवर्ड सेट करने के लिए एक सिफारिश मिली है। एन्क्रिप्शन के लिए उपयोग किया जाने वाला एल्गोरिथ्म 256 बिट प्राथमिक कुंजी के साथ एईएस है। कितना सुरक्षित है, मान लीजिए, एन्क्रिप्टेड फ़ाइलों को डिक्रिप्ट करने के लिए जानवर बल के हमलों के खिलाफ 8 चार पासवर्ड?

मुझे पता है कि यह अधिकांश वेबसाइटों पर एक अच्छा पासवर्ड आकार माना जाता है। इसका एक कारण यह है कि वे 3 अटेम्प्ट या उसके बाद किसी हमले को रोक सकते हैं।

जवाबों:


4

यह एक दिलचस्प लेख है http://www.lockdown.co.uk/?pg=combi&s=articles यह ब्योरा देता है कि सैद्धांतिक रूप से डिफरेंट लेंथ और सिंबल सेट के लिए पासवर्ड को बाध्य करने में कितना समय लगेगा।


ठीक है, यह एक बहुत ही रोचक कड़ी है। यह एक अच्छा विचारधारा देता है कि आपको किस प्रकार के बल की आवश्यकता होती है। इसलिए, पर्याप्त संसाधन दिए जाने पर, 8 वर्ण पासवर्ड को तोड़ना भी संभव है, खासकर यदि यह एक अच्छा नहीं है।
cmserv

यह अभी भी 100,000 पासवर्ड / सेकंड में 83.5 दिन लेने वाला है। यह ज्यादातर हमलों के लिए वास्तव में संभव नहीं है। खासकर अगर आप एक पीजीपी पासफ़्रेज़ के बजाय सर्वर पासवर्ड के बारे में बात कर रहे हैं। यदि उनके पास हैश नहीं है, तो 8 (यादृच्छिक) वर्ण अनिवार्य रूप से अटूट हैं।
Cian

मैं सर्वर पासवर्ड के बारे में बात नहीं कर रहा था क्योंकि मुझे पता है कि आप बहुत सरल पासवर्ड का उपयोग कर सकते हैं क्योंकि सर्वर हमलों के खिलाफ अतिरिक्त सुरक्षा प्रदान करते हैं। मैं अन्य मामलों में सार्थक था, उदाहरण के लिए फ़ाइल एन्क्रिप्शन।
cmserv

इस उत्तर को अपडेट करना अच्छा रहेगा। यह लिंक अब उपयोगी नहीं है, "स्थायी रूप से बंद" की पेशकश करता है। जो कोई भी सामग्री देखना चाहता है, उसके लिए वेकबैक मशीन आपके पास है: web.archive.org/web/20180412051235/http://www.lockdown.co.uk/…
हॉवर्ड लिंस III

निष्कर्ष I देखें: थोड़ा और पूंजी अक्षर और संख्याओं को मिलाएं। लंबाई> 15 अच्छी है।
स्टूडेंट

6

आप यह बताना चाह सकते हैं कि ब्रूस श्नेयर की इस ब्लॉग पोस्ट पर जिसने भी यह नीति लिखी है ।

यह एक अच्छा राइटअप है कि पासवर्ड की ताकत वेब पर किसी की समस्याओं के कम से कम क्यों हैं।


+1 क्योंकि ब्रूस श्नेयर सुरक्षा के राजा हैं उनका शब्द कानून है।
मार्क डेविडसन

4

इस पोस्ट में स्वीकृत उत्तर को देखें । दिखाता है कि वर्णों की पूरी श्रृंखला का उपयोग करके भी एक 8 वर्ण का पासवर्ड दरार में ~ 10,000 साल लग सकते हैं!


1
मुझे लगता है कि एक वर्ग ए हमले (10,000 पासवर्ड / सेकंड) का जिक्र है। अगर मैं इस तालिका को देखता हूं और एक बड़े संस्थान के बारे में सोचता हूं तो यह केवल 86 वर्णों, 8 चार पासवर्ड, कक्षा ई या एफ हमले के लिए उपयुक्त हो सकता है: 34 से 346 दिनों तक। यह 10000 वर्ष नहीं है;)
cmserv

ईमानदार होने के लिए मैंने पोस्ट में गणित की जाँच नहीं की!
मार्को कार्टर

3

यदि आप इन्द्रधनुषी तालिकाओं के उपयोग को क्रूर बल के रूप में गिनते हैं (मत भिन्न होते हैं) तो 8 वर्णों के लिए, इंद्रधनुष की तालिकाओं का उपयोग करना जिसमें पासवर्ड में सभी वर्ण शामिल हैं, लगभग 10 सेकंड। 20 वर्ण पासवर्ड (समान वर्ण, समान इंद्रधनुष सारणी), 30 सेकंड से कम। पकड़ यह है कि तालिकाओं को बनाने में लंबा समय लगता है । रात में केवल 3GHz मशीन प्रोसेसिंग पर जेनरेट होने में मेरा एक महीने का समय लगा। दूसरी ओर, आपको केवल एक बार ऐसा करने की आवश्यकता है।

लंबे पासवर्ड को याद रखने की कोशिश करने का मुद्दा चरित्र प्रतिस्थापन के संयोजन और वाक्यांश का उपयोग करके आसानी से हल किया जाता है। यहां तक ​​कि कुछ सरल "# Fr3ddy M3rcury #" अधिकांश उपयोगों के लिए पर्याप्त जटिल है, फिर भी उल्लेखनीय रूप से याद रखना आसान है।


MD5 पासवर्ड एक बहुत बड़े नमक का उपयोग करते हैं। मुझे नहीं लगता कि आपके इंद्रधनुष के तालिकाओं में सभी 8 वर्ण पासवर्ड और प्रत्येक संभव पासवर्ड के लिए सभी लवण होने के लिए पर्याप्त बड़ा होने वाला है।
क्रिस

क्या आप उस पर अपनी सुरक्षा को जोखिम में डालेंगे? मेरी टेबल कुल 25GB की हैं। 650MB पर प्रत्येक 40 टेबल है। एक दिन मैं एक बड़ा सेट उत्पन्न करूँगा। :)
जॉन गार्डनियर्स

1
उम, MD5 पासवर्ड के लिए 2 ^ 32 लवण नहीं हैं? वह 2 ^ 32 * 650mb है। उसके साथ अच्छा भाग्य।
क्रिस

मैंने सभी ASCII चरित्र LM hashes 64Gb के लिए रेनबो टेबल किए, लगभग 20 सप्ताह में मेरे विश्वविद्यालयों के क्लस्टर का उपयोग किया। काफी मानसिक रूप से गुजरने के लिए लगभग 3 मिनट का समय लें। सभी विंडोज़ पासवर्ड को क्रैक करने की अनुमति देता है <= 16 अक्षर।
मार्क डेविडसन

2
विकिपीडिया के अनुसार, एलएम हैश में नमक नहीं है। एमडी 5 पासवर्ड में एक नमक होता है, जिसका अर्थ है कि किसी भी एक पासवर्ड में (सॉल्टस्पेस * पासवर्ड) हैश हो सकता है, जिसका मतलब है कि आपको प्रति नमक 1 इंद्रधनुष तालिका की आवश्यकता है।
क्रिस

2

इस बात पर विचार करें कि आठ वर्ण वाला पासवर्ड याद रखा जा सकता है। 20-वर्ण का पासवर्ड नीचे लिखा जाएगा।

और फिर कोई इसे पढ़ सकता है।


आप सही हे। और कई अन्य कारक भी हो सकते हैं जो एन्क्रिप्टेड फ़ाइलों के लिए सुरक्षा के प्रकार को प्रभावित करेंगे।
cmserv

यदि यह 5 सामान्य अंग्रेजी / आपके भाषा के शब्दों का एक सेट है, तो बहुत लंबा पासवर्ड जरूरी नहीं लिखा जा सकता है। दिमाग उन्हें याद करने में अच्छा है और वहाँ बहुत सारे हैं।
क्रिस करें

1
अपने मस्तिष्क के लिए बोलो। 20 वर्णों को याद करने के विचार से खान एकदम नीचे आ जाता है।
जॉन सॉन्डर्स

यदि आपका पासवर्ड "आंत्र कालकोठरी मेटाफिजिकल पियर्स स्टैग्नेट्स" था, तो आप शायद इसे एक दो बार उपयोग करने के बाद याद रख पाएंगे।
क्रिस

नहीं। शब्दों के बीच कोई संबंध नहीं। अगली बार जब मुझे पासवर्ड की आवश्यकता होगी तो मैं खुद को यह बताने के लिए कोई कहानी नहीं बताऊँगा कि मैं खुद को क्या कहूँगा। मैं यादृच्छिक पासवर्ड उत्पन्न करने के लिए एक पासवर्ड जनरेटर प्रोग्राम का उपयोग करता हूं (मैं हर समय कम से कम आठ वर्णों का उपयोग करता हूं)। मैं तब तक उत्पन्न करता रहता हूं जब तक कि मुझे एक पासवर्ड नहीं दिखाई देता है जिसे मैं एक शब्द में बना सकता हूं जिसे मैं याद रख सकता हूं, जैसे "सिनेमोडो" = "दालचीनी" + "प्रदर्शन"। वह , मैं संभाल सकता हूं।
जॉन सॉन्डर्स

2

आपको लेख " पासवर्ड बनाम पासफ़्रेज़ " में रुचि हो सकती है । उनका निष्कर्ष यह है कि एक 9 अक्षर पूरी तरह से यादृच्छिक पासवर्ड एक 6 शब्द पास वाक्यांश के बराबर है। लेकिन उन्हें लगता है कि एक 6 शब्द वाक्यांश को याद रखना आसान होगा।


1

यह सब आपके द्वारा उपयोग किए जाने वाले वर्णों पर निर्भर करता है, क्योंकि इससे आपके संयोजन की संख्या में परिवर्तन होता है। 8 वर्ण मानकर:

  • शब्दकोश शब्द:

    egrep "^। {8} $" / usr / शेयर / तानाशाही / शब्द | wc -l
    15601
  • लोअर केस लेटर्स: 26 8 या 208827064576

  • निचले और ऊपरी मामले पत्र: 52 8 या 53459728531456

  • निचला, ऊपरी और संख्या: 62 8 या 218340105584896

विराम चिह्न और अन्य प्रतीकों को जोड़ें और ब्रूट फोर्सिंग में कुछ समय लगने वाला है।

वे संख्याएं कुल संयोजन हैं जिन्हें आजमाया जाने वाला है। जाहिर है, एक हैकर को पासवर्ड मिल जाने के बाद हर संयोजन को आजमाने की जरूरत नहीं होती है, इसलिए आवश्यक संयोजनों की औसत संख्या प्राप्त करने के लिए दो से भाग दें।

हैडर की गणना करने के लिए हार्डर हैश के परिणामस्वरूप लंबे समय तक सीपीयू होता है, इसलिए कुल समय लंबा होता है। जॉन से एक उदाहरण:

बेंचमार्किंग: ट्रेडिशनल डेस [64/64 बीएस] ... हो गया
कई लवण: 819187 c / s वास्तविक, 828901 c / s आभासी
केवल एक नमक: 874717 c / s असली, 877462 c / s आभासी

बेंचमार्किंग: BSDI DES (x725) [64/64 BS] ... हो गया
कई लवण: 29986 c / s असली, 30581 c / s आभासी
केवल एक नमक: 29952 c / s असली, 30055 c / s आभासी

बेंचमार्किंग: फ्रीबीएसडी एमडी 5 [32/64 एक्स 2] ... हो गया
कच्चा: 8761 c / s असली, 8796 c / s आभासी

बेंचमार्किंग: ओपनबीएसडी ब्लोफिश (x32) [32/64] ... हो गया
कच्चा: 354 c / s असली, 356 c / s आभासी

बेंचमार्किंग: केर्बरोस एएफएस डेस [48/64 4K] ... हो गया
संक्षिप्त: 294507 c / s वास्तविक, 295754 c / s आभासी
लंबा: 858582 c / s असली, 863887 c / s आभासी

बेंचमार्किंग: NT LM DES [64/64 BS] ... हो गया
कच्चा: 6379K c / s वास्तविक, 6428K c / s आभासी

बेंचमार्किंग: NT MD4 [जेनेरिक 1x] ... हो गया
कच्चा: 7270K c / s असली, 7979K c / s आभासी

बेंचमार्किंग: एम $ कैश हैश [जेनेरिक 1x] ... हो गया
कई लवण: 12201K c / s वास्तविक, 12662K c / s आभासी
केवल एक नमक: 4862K c / s असली, 4870K c / s आभासी

बेंचमार्किंग: LM C / R DES [netlm] ... हो गया
कई लवण: 358487 c / s असली, 358487 c / s आभासी
केवल एक नमक: 348363 c / s असली, 348943 c / s आभासी

बेंचमार्किंग: NTLMv1 C / R MD4 DES [netntlm] ... हो गया
कई लवण: 510255 c / s वास्तविक, 512124 c / s आभासी
केवल एक नमक: 488277 सी / एस असली, 489416 सी / एस आभासी

बेशक यह सब पूरी तरह से अकादमिक है, क्योंकि हैकर सिर्फ आपके सचिव को फोन करके बताएंगे कि वे आईटी से हैं और उन्हें किसी चीज के लिए पासवर्ड की जरूरत है और आपका मजबूत पासवर्ड बेकार है।


1

रक्षा के लिए मैं गैर-तुच्छ पासफ़्रेज़ का उपयोग करता हूं

* संपत्ति जो महत्वपूर्ण हैं
* सामान जो एंटी-हैमरिंग के अधीन नहीं है (दोहराया प्रयासों के बाद लॉक-आउट)
* ऐसे सामान जो गर्भधारण करने के लिए क्रूरता-मजबूर / शब्दकोश-आधारित / संकर हमलों के संपर्क में हो सकते हैं

मैं अपने gmail खाते से कम चिंतित हूँ, क्योंकि उस पासवर्ड को क्रैक करने के लिए brut-force प्रयास केवल खाते को लॉक करेगा (और सर्वर तक पहुंच वाला कोई भी व्यक्ति केवल हैश को अपने किसी एक चयन से बदल देगा, इसे क्रैक करने का प्रयास नहीं करेगा)।

सबसे अच्छा पासफ़्रेज़ लंबा (> 12 वर्ण) और क्रिप्टोग्राफिक रूप से यादृच्छिक है। हालांकि, उन लोगों को याद रखना अधिक कठिन है। तो, एक ऐसा शब्दचित्र जो प्रतीत होने वाले यादृच्छिक वर्णों के साथ कई शब्दों को जोड़ता है, एक अच्छा समझौता हो सकता है (शायद आपके पसंदीदा गीत गीत के पहले युगल लाइनों के पहले 1 या 2 अक्षर)।


0

ग्राहक / सर्वर से संवाद करने से आपको जो सुरक्षा मिलती है, जैसे आपने कहा, जब आप 3 प्रयासों के बाद हमलावरों को रोकने में सक्षम होते हैं (जब वे वेब अनुप्रयोगों के साथ नेटवर्क पर हमला करते हैं)। इस परिदृश्य के साथ, पासवर्ड की लगभग किसी भी लंबाई को पर्याप्त रूप से तर्क दिया जा सकता है।

यदि कोई अंदरूनी सूत्र इस डेटाबेस को हैशेड शॉर्ट पासवर्ड के साथ पकड़ लेता है और 3 प्रयासों के "ओवर द नेट" सीमा को बायपास करने में सक्षम है, तो खेल बदल जाता है।

प्रति खाते में प्रयासों की संख्या को सीमित करने के साथ चेतावनी यह है कि यह केवल एक विशिष्ट खाते में लक्षित प्रयासों के लिए पर्याप्त होगा। आपको किसी दिए गए (या क्रमबद्ध) पासवर्ड के साथ सभी खातों पर हमले से बचाने की आवश्यकता है - जब आप केवल प्रति खाते में प्रयासों की संख्या को सीमित करते हैं तो यह किसी भी अलार्म को ट्रिगर नहीं करेगा। आज NAT और botnets को देखते हुए, आप यह भी तर्क नहीं दे सकते कि प्रति आईपी प्रयासों की संख्या को सीमित करना सोच सुरक्षा का एक अच्छा तरीका है।

पढ़ने के लिए अच्छे संसाधन पहले से ही अन्य उत्तरों में दिए गए हैं।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.