web-dev-qa-db-ja.com

私の短いパスワードは本当にどれほど安全ではありませんか?

TrueCryptのようなシステムを使用して、新しいパスワードを定義する必要がある場合、短いパスワードを使用することは安全ではなく、ブルートフォースによって「非常に簡単に」破られるとよく​​言われます。

私は常に8文字の長さのパスワードを使用します。これは、A〜Z、a〜z、0〜9のセットの文字で構成される辞書の単語に基づいていません。

つまりsDvE98f1のようなパスワードを使用しています

そのようなパスワードをブルートフォースで解読するのはどれほど簡単ですか?つまりどのくらい速いのか。

ハードウェアに大きく依存していることは知っていますが、2GHZのデュアルコアなど、ハードウェアの参照フレームを使用してこれを行うのにかかる時間の見積もりを誰かが教えてくれるかもしれません。

このようなパスワードをブルートフォース攻撃するには、すべての組み合わせを繰り返すだけでなく、推測されたパスワードごとに復号化を試みる必要がありますが、これにも時間がかかります。

また、自分のパスワードをブルートフォースクラッキングして、本当に「非常に簡単」であるかどうかを確認したいので、truecryptをブルートフォースハッキングするソフトウェアはありますか。

17
user31073

攻撃者がパスワードハッシュにアクセスできる場合、ハッシュが一致するまでパスワードをハッシュするだけなので、ブルートフォース攻撃は非常に簡単です。

ハッシュの「強度」は、パスワードの保存方法によって異なります。 MD5ハッシュは、SHA-512ハッシュよりも生成にかかる時間が短い場合があります。

Windowsは、パスワードをLMハッシュ形式で保存していました(まだわかりませんが)。LMハッシュ形式では、パスワードが大文字になり、2つの7文字のチャンクに分割されてからハッシュされていました。 15文字のパスワードがあれば、最初の14文字しか保存されないので問題ありません。また、14文字のパスワードをブルートフォースするのではなく、2つの7文字のパスワードをブルートフォースするので、ブルートフォース攻撃は簡単でした。

必要に応じて、John The RipperやCain&Abel(リンクは非公開)などのプログラムをダウンロードしてテストしてください。

LMハッシュに対して1秒間に200,000ハッシュを生成できたことを思い出します。 Truecryptがハッシュを保存する方法に応じて、またロックされたボリュームからハッシュを取得できる場合は、多少時間がかかる可能性があります。

ブルートフォース攻撃は、攻撃者が通過するハッシュが多数ある場合によく使用されます。一般的な辞書を実行した後、彼らはしばしば一般的なブルートフォース攻撃でパスワードを取り除き始めます。最大10個の番号付きパスワード、拡張英数字と英数字、英数字と一般記号、英数字と拡張記号。攻撃の目的に応じて、さまざまな成功率で導くことができます。特に1つのアカウントのセキュリティを危険にさらそうとすることは、多くの場合、目標ではありません。

11
Josh K

ブルートフォースは実行可能な攻撃ではありません、ほとんどこれまで。攻撃者があなたのパスワードについて何も知らない場合、攻撃者は2020年のこちら側をブルートフォース攻撃することはできません。これは、ハードウェアの進歩に伴い、将来変更される可能性があります(たとえば、現在はi7をコアとしており、プロセスを大幅に高速化しています(ただし、まだ何年も話し合っています))

-超安全にしたい場合は、拡張ASCII記号をそこに貼り付けます(Altキーを押しながら、テンキーを使用して255より大きい数値を入力します)。そうすることで、単純なブルートフォースが役に立たなくなることがほぼ確実になります。

Truecryptの暗号化アルゴリズムの潜在的な欠陥について心配する必要があります。これにより、パスワードを簡単に見つけることができます。もちろん、使用しているマシンが危険にさらされている場合、世界で最も複雑なパスワードは役に立ちません。

3
Phoshi

このオンラインツールを使用して見積もりを行うことができます http://lastbit.com/pswcalc.asp

2
Sebtm

編集:他の人は、「ブルートフォースによってそのようなパスワードを解読するのはどれくらい簡単ですか?つまり、どれくらい速いか」に関するあなたの質問の一部に良い答えを与えました

あなたの質問のこの部分に対処するには:

また、自分のパスワードをブルートフォースクラッキングして、本当に「非常に簡単」であるかどうかを確認したいので、truecryptをブルートフォースハッキングするソフトウェアはありますか。

ここにさまざまなオプションがあります Truecryptをbruteforcingするため

もう1つあります プリンストン大学から。

1
Josh

GRCの干し草の山は、オフライン攻撃でパスワードを解読するのに36.99分かかると述べています。 https://www.grc.com/haystack.htm

0
xxl3ww

パスワード:

これは単純ですが、長いパスワードです。

非常に辞書ベースの攻撃を含むブルートフォースに対して、以下よりも耐性があります。

sDvE98f1

したがって、短くても難しいパスワードを使用することは、逆効果になります。覚えるのが難しく、安全性が低くなります。

シンプルだが長いフレーズを使用します。

0
Thomas Bonini