словарная атака на пароли

646
jsigned

Я подвергаю сомнению общий совет, данный, чтобы не использовать словарные слова в предложении для пароля. Например, используя «Меня зовут Сью!» в качестве пароля. На веб-сайтах, которые я размещаю и управляю, если вы не наберете именно ту строку символов, в которую вы не входите. Я посмотрел на словари, используемые некоторыми взломанными программами, и они представляют собой удивительные наборы слов. Я быстро перестал пытаться найти слово, которого там не было, на каждом письменном языке. Так что использование ругательства на нидерландском языке делает паршивым паролем. Но там не было фраз, и даже если бы не было количества возможных фраз и их перестановок, просто превратить это в другую форму атаки грубой силы?

Итак, почему советуют не использовать словарные слова в предложении для парольной фразы?

(мыльница) Я думаю, что ИТ оказала плохую услугу пользователям, требуя все более сложных и невозможных для запоминания паролей, вместо того, чтобы предлагать использовать парольную фразу. Я ищу аргументированный ответ, почему я неправильно думаю и должен вернуться к общему совету. (/ Мыльница)

2
Это было бы лучше на форуме по информационной безопасности. Смотрите: http://security.stackexchange.com/questions/6308/are-there-state-of-the-art-techniques-or-theory-specifically-for-attacking-passp David Marshall 11 лет назад 1
Вот аналогичный вопрос безопасности: http://security.stackexchange.com/questions/6095/xkcd-936-short-complex-password-or-long-dictionary-passphrase ernie 11 лет назад 1

3 ответа на вопрос

1
Hennes

Насколько сложно взломать пароль, зависит как минимум от двух переменных:

  • Длина пароля.
  • Допустимые символы пароля.

Первое очевидно. Если я ограничусь только буквами (26 маленьких + 26 заглавных букв), то

  1. Однобуквенный пароль можно угадать максимум за 52 попытки.
  2. Двухбуквенный пароль может быть угадан максимум за 2704 попытки (52 × 52)
  3. Трехбуквенный пароль может быть угадан максимум за 140608 попыток (52 × 52 × 52).

Как видите, количество комбинаций быстро растет. Следовательно, чем длиннее пароль, тем сложнее его перебор. ИТ должны поощрять длинные пароли.

Однако многие старые приложения принимают пароли длиной не более 8. Это просто слишком мало для обеспечения безопасности. Если вы ограничены такими 8 символами. ограничить, или вы знаете, что ваши пользователи не будут использовать длинные пароли, есть еще один способ сделать пароли труднее перебором: заставить пароль использовать больший набор ввода, чем просто буквы. Добавьте цифры. Добавляйте странные вещи на клавиатуру .

Это не хорошее решение. Это обходной путь для компенсации среднего пользователя или старых систем. Такой пароль, как BatteryHorseStaple (длина 18), взломать намного сложнее, чем большинство коротких, но сложных паролей. Тем не менее, большинство людей будут слишком ленивы, чтобы напечатать это.

Вы можете заметить, что я постоянно использовал термин « перебор пароля», а не взломал пароль . Это потому, что есть другие способы узнать чьи-то пароли. Например, вы могли бы просто догадаться.

Словари - не что иное, как большие списки слов, которые нужно угадать, а программы для взлома паролей достаточно умны, чтобы пробовать варианты слов в словарях.

Это делает слова в таком словаре неподходящими как для паролей, так и для использования в парольных фразах.

Если вы собираетесь использовать ссылку на батарею, вы можете также сослаться на [комикс] (http://xkcd.com/936/);) ernie 11 лет назад 0
1
ernie

Вы сравниваете пароли с парольными фразами . Парольные фразы обычно считаются превосходящими, если люди не используют общие фразы.

1
Jan Doggen

Как уже сказал «Эрни», вы сравниваете пароли с парольными фразами. Совет не использовать словарь слов является твердым. Но использование парольных фраз в качестве словарных слов менее опасно, чем другие трюки, пытающиеся создать запоминающийся пароль / фразу.

В настоящее время в ситуации, когда злоумышленник имеет зашифрованную версию вашего пароля (фразы), он не просто проводит обычную атаку по словарю. Хакеры знают все хитрости ( словосочетание, объединение слов, добавление чисел и т. Д.).

Расширенная информация в Security Now, эпизод 366 «Обновление взлома пароля: смерть умного» (или прочитайте его стенограмму ).

Я предлагаю вам использовать хороший генератор паролей, такой как LastPass (также интенсивно обсуждаемый в эпизоде ​​256 256), чтобы генерировать для вас случайные пароли. Люди плохие наугад (либо генерируют, либо обнаруживают )

Если вы действительно хотите запоминать пароли, вы можете использовать технику сена паролей в качестве альтернативы трудно запоминаемым случайным комбинациям. Здесь вы добавляете повторяющуюся строку (123 123 123) к короткой строке, содержащей максимальную энтропию (D0g!).

Какой бы метод вы ни выбрали, ваши пароли должны содержать не менее 12 символов . Все 8-символьные пароли теперь можно взломать за 13 часов на сборочной машине стоимостью 12000 долларов (в основном для графических процессоров).