web-dev-qa-db-ja.com

最悪のケースの前にブルートフォース攻撃が成功する可能性はありますよね?

パスワードが安全で、X、週、年などかかると説明したとき、それは最悪のケースを指しているのではないですか?

総当たりの方法が「最悪の場合」よりもはるかに短い時間で成功した場合はどうなりますか?

LastPassを使った最近のイベントでは、サーバーからの大量のトラフィックに気付いて、これについて考えていました。 LastPassのデータ(私のユーザー名とパスワードがすべて含まれている)を誰かがダウンロードして、ブルートフォースクラックを試みて解読できますか?私はデータを暗号化するのに非常に長いパスワードを使用しましたが、これは解読するのが難しいはずですが、より高速なコンピューターハードウェアを使用している場合、5〜10年でどうなるでしょうか。これはその時点でクラックされる可能性がありますか?

cryptographyencryptionpasswordsbrute-force
7
Mark Norgren

ほとんどのクラッキング攻撃では、平均攻撃コストは、最悪の場合のコストの約半分です。簡単に言うと、[〜#〜] n [〜#〜]可能なパスワードがある場合、約N/2の後に正しいパスワードがヒットします。これは平均であることに注意してください。単一のインスタンスでいつでも「ラッキーになる」または「ラッキーにならない」ことができます。これは定量化できます。試した後に正しいパスワードが見つかる確率[〜#〜] m [〜#〜]M/Nです。したがって、最悪のケースの10分の1の時間でパスワードをクラックする1/10の確率、最悪のケースの20分の1の20分の1の確率、などとなります。

12
Thomas Pornin

最悪のケースに基づいて、パスワードを解読するのにかかる時間を推定する場合があります。時々、それをクラックする平均時間に基づいて。通常、パスワードを解読する平均時間は、最悪の場合の時間の半分です。

確かに、誰かが幸運になり、予想よりもはるかに速くパスワードを解読する可能性があります。一体、パスワードがどんなに強力であっても、誰かが幸運になり、最初の推測でたまたまパスワードを推測するのは可能な限り(少なくとも理論的には)可能明日抽選に当たることができます。しかし、それはあまりありそうにありません。同様に、誰かが幸運にも予想よりもはるかに速くパスワードを解読できる可能性はほとんどありません。

特に、パスワードをクラックする最悪の場合が[〜#〜] t [〜#〜]試行の場合、1/nの確率が攻撃者はT/n回またはそれ以下でパスワードを解読します。たとえば、最悪のケースが1000年である場合、攻撃者が100年以内に成功する可能性は10%の確率、10年以内に成功する可能性は1%の確率、そして可能性がある可能性は0.1%です。 1年以内に成功する。

これがあなたを心配するなら、最善の防御策は、より強力なパスワードを選択することです(推測するのがより難しいので、最悪の場合の時間が長くなります)。

10
D.W.

総当たりの時間がかかる時間の見積もりは、いくつかの仮定に基づいて行われます。

見積もりの​​計算方法に応じて、そのような前提の1つは、パスワードを構成する文字セットがコンピューターに認識されていることです。パスワードに英数字以外の記号を1つ追加すると、複雑さが大幅に増大します。

余分な文字とブルートフォースが通過する必要のある文字セットを拡張するすべての文字は、パスワードのセキュリティを強化します。

LastPassが侵害されたとされている場合、得られたデータは ハッシュ の形式である可能性があります。これらは Rainbow tables によってクラックされる可能性がありますが、パスワードを含めるのに十分な大きさのセットに生成する必要があります。つまり、ブルートフォースキーを事前に生成できます。

2つ目の大きな欠陥のある仮定は、1秒間に試行できる置換の数にあります。例として、膨大な数のマシンで上記のRainbowテーブルを生成できます。さらに、一度生成するだけで、再利用できます。

6
funkotron