वास्तव में मेरा पासवर्ड कितना असुरक्षित है?

17

ट्रू-क्रिप्ट जैसी प्रणालियों का उपयोग करते समय, जब मुझे एक नया पासवर्ड परिभाषित करना होता है तो मुझे अक्सर सूचित किया जाता है कि संक्षिप्त पासवर्ड का उपयोग करना असुरक्षित और "बहुत आसान" है।

मैं हमेशा लंबाई में 8 वर्णों के पासवर्ड का उपयोग करता हूं, जो शब्दकोश शब्दों पर आधारित नहीं हैं, जिसमें सेट AZ, az, 0-9 से वर्ण शामिल हैं

यानी मैं sDvE98f1 जैसे पासवर्ड का उपयोग करता हूं

ब्रूट-फोर्स द्वारा ऐसे पासवर्ड को क्रैक करना कितना आसान है? यानी कितना तेज।

मुझे पता है कि यह हार्डवेयर पर बहुत अधिक निर्भर करता है, लेकिन शायद कोई मुझे यह अनुमान दे सकता है कि 2GHZ के साथ दोहरे कोर पर ऐसा करने में कितना समय लगेगा या हार्डवेयर के लिए संदर्भ का कोई भी फ्रेम होगा।

इस तरह के एक पासवर्ड को रिश्वत-बल पर हमला करने के लिए न केवल सभी संयोजनों के माध्यम से साइकिल चलाने की आवश्यकता होती है, बल्कि प्रत्येक अनुमानित पासवर्ड के साथ डी-क्रिप्ट करने की भी कोशिश की जाती है जिसे कुछ समय की आवश्यकता होती है।

इसके अलावा, वहाँ कुछ सॉफ्टवेयर है brut- फोर्स हैक truecrypt क्योंकि मैं अपने खुद के पासवर्ड को ब्रूट-फोर्स क्रैक करने की कोशिश करना चाहता हूं यह देखने के लिए कि कितना समय लगता है अगर यह वास्तव में "बहुत आसान" है।

security passwords truecrypt

— user31073
स्रोत

10

खैर अब आप हमें बता दिया है कि अपने पासवर्ड हमेशा से रहे हैं 8 वर्ण और नहीं शब्द शब्दकोश, आपके द्वारा किए गए यह बहुत आसान है ;-)

— जोश

अरे नहीं! मुझे बेहतर शब्दकोष लेना चाहिए था ... :)

— user31073

यदि आप वास्तव में पासवर्ड के बारे में चिंतित हैं तो KeePass का प्रयास करें । मेरा पासवर्ड प्रबंधन गंभीर द्रव्यमान तक पहुंच गया था, तब कीपस ने मेरा जीवन बदल दिया। अब मुझे केवल 2 पासवर्ड याद रखने हैं, एक अपने कंप्यूटर पर लॉगिन करने के लिए और एक मुझे अपने KeePass डेटाबेस में लॉगिन करने के लिए। मेरे सभी पासवर्ड (और मेरे उपयोगकर्ता नाम के सबसे) अब अद्वितीय है और बेहद जटिल हैं, और एक उपयोगकर्ता नाम / पासवर्ड कॉम्बो उपयोग करने जितना आसान है CTRL+ ALT+ Aअगर मैं KeePass में लॉग इन कर रहा हूँ।

— जुबिकबोन

11

यदि हमलावर पासवर्ड हैश तक पहुँच प्राप्त कर सकता है, तो बल को भंग करना बहुत आसान है क्योंकि यह हैश मैच तक केवल हैशिंग पासवर्ड दर्ज करता है।

हैश "ताकत" इस बात पर निर्भर है कि पासवर्ड कैसे संग्रहीत किया जाता है। एक MD5 हैश को SHA-512 हैश उत्पन्न करने में कम समय लग सकता है।

Windows का उपयोग किया गया (और अभी भी हो सकता है, मुझे नहीं पता) पासवर्ड को LM हैश प्रारूप में संग्रहीत करें, जिसने पासवर्ड को अपरकेस किया और इसे दो 7 कैरेक्टर चंक्स में विभाजित किया जो तब हैशेड थे। यदि आपके पास 15 वर्ण का पासवर्ड है, तो इससे कोई फर्क नहीं पड़ेगा क्योंकि यह केवल पहले 14 वर्णों को संग्रहीत करता है, और बल को भंग करना आसान था क्योंकि आप 14 वर्ण पासवर्ड के लिए बाध्य नहीं थे, आप दो 7 वर्ण पासवर्ड के लिए बाध्य थे।

यदि आपको आवश्यकता महसूस होती है, तो जॉन द रिपर या कैन एंड एबेल (लिंक को रोक दिया गया) जैसे प्रोग्राम को डाउनलोड करें और उसका परीक्षण करें।

मुझे याद है कि एलएम हैश के लिए 200,000 हैश सेकेंड उत्पन्न करने में सक्षम है। इस पर निर्भर करता है कि Truecrypt कैसे हैश को स्टोर करता है, और अगर इसे लॉक वॉल्यूम से पुनर्प्राप्त किया जा सकता है, तो इसे अधिक या कम समय लग सकता है।

ब्रूट बल के हमलों का उपयोग अक्सर किया जाता है जब हमलावर के पास जाने के लिए बड़ी संख्या में हैश होते हैं। एक आम शब्दकोश के माध्यम से चलने के बाद वे अक्सर आम जानवर बल के हमलों के साथ पासवर्ड निराकरण शुरू कर देंगे। दस तक के पासवर्ड, विस्तारित अल्फा और न्यूमेरिक, अल्फ़ान्यूमेरिक और सामान्य प्रतीक, अल्फ़ान्यूमेरिक और विस्तारित प्रतीक। हमले के लक्ष्य के आधार पर यह अलग-अलग सफलता दर के साथ नेतृत्व कर सकता है। विशेष रूप से एक खाते की सुरक्षा से समझौता करने का प्रयास अक्सर लक्ष्य नहीं होता है।

— जोश के
स्रोत

इस उत्तर के लिए धन्यवाद। मुझे उल्लेख करना चाहिए कि मैं सामान्य रूप से हैश फ़ंक्शन के लिए RIPEMD-160 का उपयोग करता हूं। और पासवर्ड के लिए, जिस तरह से मैं इसे ऊपर वर्णित के रूप में उत्पन्न करता हूं वह 218340105584896 संभव पासवर्ड (26 + 26 + 10) ^ 8 (लेकिन हमलावर को यह नहीं पता है)। तो मैं सिर्फ आश्चर्य है कि जैसे पासवर्ड जानवर बल हमलों के खिलाफ सुरक्षित है कारण के भीतर (मैं केवल बारे में कीलॉगर्स, cryotricks या रबर की नली क्रिप्टोग्राफी के बारे में बात नहीं कर रहा हूँ, जानवर बल पासवर्ड से अनुमान लगा)। और मैं ज्यादातर TrueCrypt का उपयोग कर रहा हूं।

— user31073

बस स्पष्ट करने के लिए, आपने मेरे सवाल का जवाब दिया, 1 नोड पर 218340105584896 संयोजनों के लिए 200,000 पर आधारित ~ 36 साल लगेंगे, बशर्ते कि हमलावर पासवर्ड लंबाई जानता हो। यह भी ऑनलाइन कैलकुलेटर मुझे क्या देता है। धन्यवाद!

— user31073

यदि उनके लिए हैश प्राप्त करना संभव है, तो हाँ एक क्रूर बल हमला करना संभव है। वे सफल हैं या नहीं, इस बात पर बहुत कुछ निर्भर करता है कि वे पासवर्ड के बारे में कितना जानते हैं और उनके पास कितना समय है। उत्तर अपडेट किया गया।

— जोश के

3

याद रखें कि यदि आप वितरित नेटवर्क का उपयोग करके हैश को रोकते हैं तो 36 वर्ष जल्दी हो जाते हैं। यदि आप 1000 कंप्यूटर का उपयोग करते हैं, तो यह एक प्रबंधनीय संख्या के नीचे है।

— रिच ब्रैडशॉ

1

यह याद दिलाना अच्छा है कि पासवर्ड की लंबाई बढ़ने से कठिनाई बहुत बढ़ जाती है। अगर 8 चार पासवर्ड में 36 साल लगते हैं, तो लंबाई 16 गुना हो जाने से समय दोगुना नहीं होता है, बल्कि 7663387620052652 साल तक बढ़ जाता है। :)

— इलारी काजस्ट जूल

3

ब्रूट-फोर्स एक व्यवहार्य हमला नहीं है , बहुत ज्यादा कभी। यदि हमलावर को आपके पासवर्ड के बारे में कुछ नहीं पता है, तो वह 2020 के इस पक्ष के माध्यम से इसे बल के माध्यम से प्राप्त नहीं कर रहा है। यह भविष्य में बदल सकता है, हार्डवेयर एडवांस के रूप में (उदाहरण के लिए, कोई भी सभी बहुत-से-उपयोग कर सकता है- अब i7 पर कोर, सामूहिक रूप से प्रक्रिया को तेज कर रहा है (फिर भी बात कर रहे साल, हालांकि)

यदि आप सुरक्षित होना चाहते हैं, तो सुरक्षित रखें, वहां एक विस्तारित-असिसी प्रतीक चिपकाएं (Alt दबाए रखें, संख्या का उपयोग 255 से बड़ी संख्या में टाइप करने के लिए करें)। ऐसा करना बहुत अधिक विश्वास दिलाता है कि एक सादा जानवर-बल बेकार है।

आपको ट्रुकक्रिप्ट के एन्क्रिप्शन एल्गोरिथ्म में संभावित खामियों के बारे में चिंतित होना चाहिए, जो पासवर्ड को बहुत आसान बना सकता है, और निश्चित रूप से, दुनिया में सबसे जटिल पासवर्ड बेकार है अगर मशीन जिस पर आप इसका उपयोग कर रहे हैं वह समझौता है।

— Phoshi
स्रोत

हालांकि यह सच है कि किसी एक लक्ष्य के खिलाफ ब्रूट बल के हमले शायद ही कभी सफल होते हैं, अगर मैं एक वेबसाइट के लिए उपयोगकर्ता डेटाबेस को डंप करने के लिए होता था, जो एमडी 5 का उपयोग पासवर्डों को हैश करने के लिए करता है तो मैं उन्हें आसानी से लोड कर सकता हूं और इसके खिलाफ एक सीमा बल चला सकता हूं। 6 वर्ण, अल्फा +, संख्यात्मक और प्रतीक। मुझे 100% सफलता नहीं मिली, लेकिन मैं एक अच्छी संख्या में खातों से समझौता कर सकता था।

— जोश के

यदि नमक स्थिर था, तो सुनिश्चित करें। यह नहीं होना चाहिए। और यह वास्तव में पाशविक बल नहीं है, या तो, यह सिर्फ एक precomputed इंद्रधनुष तालिका के खिलाफ खोज कर रहा है। वहाँ एक कारण है कि हम अपने hashes नमक;)

— Phoshi

कितने वेबसाइट हैश को नमक करते हैं? क्या एक इंद्रधनुष तालिका बस एक जानवर बल हमले एक फ़ाइल में संकुचित नहीं है? ;) मेरा कहना है कि यदि आपके पास पासवर्ड वाले 1000 उपयोगकर्ता हैं, तो उनमें से कुछ के पास पासवर्ड जैसे हैं 12blue।

— जोश के

यदि कोई वेबसाइट उनके हैश को सलाम नहीं कर रही है, तो वे इसे गलत कर रहे हैं। एक इंद्रधनुष की मेज बस हर संभव मूल्य है, इसलिए एक पूर्व-भंगुर जानवर-बल की तरह सच है। | l2blueअभी भी एक अच्छा नमक के साथ क्रूर नहीं होना चाहिए, और इसके माध्यम से जाने के लिए एक अच्छा लंबा समय लगेगा। (२१ possible६ 217 combinations२२३६ संभव संयोजन, हमलावर को यह पता है कि यह एक

— z-

1

विस्तारित-एससीआई प्रतीकों का उपयोग करना एक बुरा विचार है, जब तक कि आपको पूरा यकीन न हो कि यह डेटाबेस द्वारा स्वीकार किया जाएगा। अधिक बार नहीं, मुझे अपना पासवर्ड दूषित हो गया और सिस्टम मुझे लॉगिन पर टाइप करने के साथ मेल नहीं कर सका, भले ही यह बिल्कुल वैसा ही हो। ऐसा इसलिए होता है क्योंकि यूनिकोड अभी भी एक सामान्य मानक नहीं है और अधिकांश स्थानों पर टेक्स्ट एन्कोडिंग का खराब व्यवहार किया जाता है।

— cregox

2

आप एक अनुमान के लिए इस ऑनलाइन टूल का उपयोग कर सकते हैं http://lastbit.com/pswcalc.asp

— Sebtm
स्रोत

वह साइट कितनी सही है?

— जोश

1

@जोश; ऐसा लगता है कि यह सिर्फ गणित करता है, इसलिए एक सटीक पासवर्ड / दूसरा मान दिया गया है।

— फशी

किसी भी विचार क्यों howsecureismypassword.net का कहना है कि इस पासवर्ड को तोड़ने में केवल 10 दिन लगते हैं?

— sgmoore

1

EDIT: दूसरों ने आपके प्रश्न के भाग के बारे में अच्छे उत्तर दिए हैं कि "ब्रूट-फोर्स द्वारा इस तरह के पासवर्ड को क्रैक करना कितना आसान है? यानी कितना तेज?"

अपने प्रश्न के इस भाग को संबोधित करने के लिए:

इसके अलावा, वहाँ कुछ सॉफ्टवेयर है brut- फोर्स हैक truecrypt क्योंकि मैं अपने खुद के पासवर्ड को ब्रूट-फोर्स क्रैक करने की कोशिश करना चाहता हूं यह देखने के लिए कि कितना समय लगता है अगर यह वास्तव में "बहुत आसान" है।

Truecrypt को ब्रूट करने के लिए यहां कई तरह के विकल्प हैं

यहाँ प्रिंसटन विश्वविद्यालय से एक और एक है।

— जोश
स्रोत

यह उनके प्रश्न का उत्तर नहीं देता है कि उनका छोटा पासवर्ड कितना सुरक्षित है, और इसके बजाय Truecrypt प्लेटफ़ॉर्म पर विभिन्न अन्य हमलों का सामना करता है।

— जोश के

@ जोश के: नहीं, यह उनके सवाल का जवाब देता है, "इसके अलावा, वहाँ कुछ सॉफ्टवेयर है brut-force hack truecrypt को हैक करने के लिए क्योंकि मैं अपने स्वयं के पासवर्ड को ब्रूट-फोर्स क्रैक करने की कोशिश करना चाहता हूं यह देखने के लिए कि यह वास्तव में कितना समय लगता है?" आसान'।"

— जोश

1

@ जोश अब, एक दूसरे पर लड़ाई मत करो! तुम दोनों वास्तव में एक ही व्यक्ति हो, क्या तुम नहीं हो?

— cregox

नहीं, वास्तव में हम नहीं हैं।

— जोश के

0

पासवर्ड:

यह एक सरल, लेकिन लंबा, पासवर्ड है।

है बहुत अधिक शब्दकोश आधारित हमलों, की तुलना में सहित जानवर बल, के लिए प्रतिरोधी:

sDvE98f1

तो एक छोटे लेकिन मुश्किल पासवर्ड का उपयोग करना केवल काउंटर-उत्पादक है। यह याद रखना अधिक कठिन है और कम सुरक्षित है।

एक सरल लेकिन लंबे वाक्यांश का उपयोग करें।

— थॉमस बोनी
स्रोत

स्रोत?

— hyperslug

@ हाइपर: सरल हाई स्कूल गणित?

— 16:34 पर थॉमस बोनीनी

1

रान्डेल में लंबाई बनाम जटिलता के बारे में एक उपयोगी दृश्य है: xkcd.com/936

— चार्ल्स लिंडसे

0

जीआरसी की हिस्टैक ने कहा कि ऑफ़लाइन हमले में आपके पासवर्ड को क्रैक करने में 36.99 मिनट का समय लगेगा। https://www.grc.com/haystack.htm

— xxl3ww
स्रोत