Dans quelle mesure mon mot de passe court est-il vraiment peu sûr?

17

En utilisant des systèmes comme TrueCrypt, lorsque je dois définir un nouveau mot de passe, je suis souvent informé que l'utilisation d'un mot de passe court n'est pas sécurisée et "très facile" à casser par la force brute.

J'utilise toujours des mots de passe de 8 caractères, qui ne sont pas basés sur des mots du dictionnaire, qui se composent de caractères de l'ensemble AZ, az, 0-9

C'est à dire que j'utilise un mot de passe comme sDvE98f1

Est-il facile de déchiffrer un tel mot de passe par force brute? C'est à dire à quelle vitesse.

Je sais que cela dépend fortement du matériel, mais peut-être que quelqu'un pourrait me donner une estimation du temps qu'il faudrait pour le faire sur un double cœur avec 2 GHz ou autre pour avoir un cadre de référence pour le matériel.

Pour attaquer par la force un tel mot de passe, il faut non seulement parcourir toutes les combinaisons, mais aussi essayer de décrypter avec chaque mot de passe deviné qui a également besoin de temps.

De plus, existe-t-il des logiciels pour pirater en force la truecrypt parce que je veux essayer de cracker par force mon propre mot de passe pour voir combien de temps cela prend si c'est vraiment "très facile".

security passwords truecrypt user31073
la source
10
Eh bien maintenant que vous nous avez dit que vos mots de passe sont toujours composés de 8 caractères et non de mots du dictionnaire, vous avez rendu les choses beaucoup plus faciles ;-)
Josh
Zut! J'aurais dû mieux prendre un mot du dictionnaire ... :)
user31073
Si vous êtes vraiment préoccupé par les mots de passe, essayez KeePass . Ma gestion des mots de passe avait atteint une masse critique, puis KeePass a changé ma vie. Maintenant, je n'ai plus qu'à me souvenir de 2 mots de passe, un pour me connecter à mon ordinateur et un pour me connecter à ma base de données KeePass. Tous mes mots de passe (et la plupart de mes noms d'utilisateur) sont désormais uniques et extrêmement complexes, et l'utilisation d'un combo nom d'utilisateur / mot de passe est aussi simple que CTRL+ ALT+ Asi je suis connecté à KeePass.
ubiquibacon

Réponses:

11

Si l'attaquant peut accéder au hachage de mot de passe, il est souvent très facile de forcer brutalement car cela implique simplement de hacher les mots de passe jusqu'à ce que les hachages correspondent.

La «force» du hachage dépend de la façon dont le mot de passe est stocké. Un hachage MD5 peut prendre moins de temps à générer qu'un hachage SHA-512.

Windows avait l'habitude (et peut-être encore, je ne sais pas) de stocker les mots de passe au format de hachage LM, qui a mis le mot de passe en majuscule et l'a divisé en deux morceaux de 7 caractères qui ont ensuite été hachés. Si vous aviez un mot de passe à 15 caractères, cela n'aurait pas d'importance car il ne stockait que les 14 premiers caractères, et il était facile de forcer brutalement parce que vous n'étiez pas en train de forcer brutalement un mot de passe à 14 caractères, vous forçiez brutalement deux mots de passe à 7 caractères.

Si vous en ressentez le besoin, téléchargez un programme tel que John The Ripper ou Cain & Abel (liens cachés) et testez-le.

Je me souviens avoir pu générer 200 000 hachages par seconde pour un hachage LM. Selon la façon dont Truecrypt stocke le hachage, et s'il peut être récupéré à partir d'un volume verrouillé, cela peut prendre plus ou moins de temps.

Les attaques par force brute sont souvent utilisées lorsque l'attaquant a un grand nombre de hachages à traverser. Après avoir parcouru un dictionnaire commun, ils commencent souvent à éliminer les mots de passe avec des attaques par force brute courantes. Mots de passe numérotés jusqu'à dix, alpha et numérique étendus, symboles alphanumériques et communs, symboles alphanumériques et étendus. Selon le but de l'attaque, elle peut conduire à des taux de réussite variables. Tenter de compromettre la sécurité d'un compte en particulier n'est souvent pas l'objectif.

Josh K
la source
Merci pour cette réponse. J'aurais dû mentionner que j'utilise normalement RIPEMD-160 pour la fonction de hachage. Et pour le mot de passe, avec la façon dont je le génère comme décrit ci-dessus, c'est 218340105584896 mot de passe possible (26 + 26 + 10) ^ 8 (mais l'attaquant ne le sait pas). Je me demande donc si ces mots de passe sont sécurisés contre les attaques par force brute dans des limites raisonnables (je ne parle pas des enregistreurs de frappe, des cryotricks ou de la cryptographie en caoutchouc, uniquement en ce qui concerne la devinette des mots de passe par force brute). Et j'utilise principalement TrueCrypt.
user31073
Juste pour clarifier, vous avez répondu à ma question, basée sur 200 000 pour 218340105584896 combinaisons sur 1 nœud, cela prendrait ~ 36 ans, à condition que l'attaquant connaisse la longueur du mot de passe. C'est aussi ce que me donne la calculatrice en ligne. Merci!
user31073
S'il leur est possible d'obtenir le hachage, alors oui, il est possible de lancer une attaque par force brute. Leur réussite dépend ou non de leur connaissance du mot de passe et du temps dont ils disposent. Réponse mise à jour.
Josh K
3
N'oubliez pas que 36 ans deviennent rapides si vous précalculez les hachages à l'aide d'un réseau distribué. Si vous utilisez 1000 ordinateurs, cela revient à un nombre gérable.
Rich Bradshaw
1
Il est également bon de rappeler qu'en augmentant la longueur du mot de passe, la difficulté augmente considérablement. Si un mot de passe de 8 caractères prend 36 ans, en doublant la longueur à 16 caractères, le temps n'est pas doublé, mais passe à 7663387620052652 ans. :)
Ilari Kajaste
4

Brute-Force n'est pas une attaque viable , presque jamais. Si l'attaquant ne sait rien de votre mot de passe, il ne l'obtient pas par force brute de ce côté de 2020. Cela pourrait changer à l'avenir, à mesure que le matériel progresse (par exemple, on pourrait utiliser tous les maintenant noyaux sur un i7, accélérant massivement le processus (encore des années, cependant))

Si vous voulez être -super- sécurisé, collez-y un symbole ascii étendu (maintenez alt, utilisez le pavé numérique pour saisir un nombre supérieur à 255). Faire cela assure à peu près qu'une force brute simple est inutile.

Vous devriez vous inquiéter des failles potentielles de l'algorithme de chiffrement de truecrypt, qui pourraient faciliter la recherche d'un mot de passe, et bien sûr, le mot de passe le plus complexe au monde est inutile si la machine sur laquelle vous l'utilisez est compromise.

Phoshi
la source
S'il est vrai que les attaques par force brute réussissent rarement contre une seule cible, si je vidais la base de données des utilisateurs d'un site Web qui utilise MD5 pour hacher les mots de passe, je pourrais facilement les charger et exécuter une force brute contre cela avec une limite de 6 caractères, alpha +, numérique et symboles. Je n'aurais pas 100% de succès, mais je serais en mesure de compromettre un nombre décent de comptes.
Josh K
Si le sel était statique, bien sûr. Ça ne devrait pas l'être. Et ce n'est pas vraiment de la force brute non plus, c'est juste une recherche contre une table arc-en-ciel précalculée. Il y a une raison pour laquelle nous
salons
Combien de sites Web salent les hachages? Une table arc-en-ciel n'est-elle pas simplement une attaque par force brute compressée dans un fichier? ;) Mon point est que si vous avez 1000 utilisateurs avec des mots de passe, certains d'entre eux auront forcément des mots de passe comme 12blue.
Josh K
Si un site Web ne salue pas son hachage, il le fait mal. Une table arc-en-ciel est juste toutes les valeurs possibles, donc sorta comme une force brute précalculée, vrai. | l2bluene devrait toujours pas être brutalisable avec un bon sel, et il faudrait encore beaucoup de temps pour passer par là. (2176782336 combinaisons possibles, en supposant que l'attaquant sait que c'est a-z0-9)
Phoshi
1
C'est une mauvaise idée d'utiliser des symboles ascii étendus, à moins que vous ne soyez sûr que cela sera accepté par la base de données. Plus souvent qu'autrement, mon mot de passe a été corrompu et le système n'a pas pu le faire correspondre avec ce que je tape à la connexion, même s'il est exactement le même. Cela se produit car l'unicode n'est toujours pas un standard commun et l'encodage de texte est mal traité dans la plupart des endroits.
cregox
2

Vous pouvez utiliser cet outil en ligne pour une estimation http://lastbit.com/pswcalc.asp

Sebtm
la source
Quelle est la précision de ce site?
Josh
1
@Josh; On dirait qu'il fait juste le calcul, donc parfaitement précis étant donné une valeur de mots de passe / seconde correcte.
Phoshi
Une idée pourquoi howsecureismypassword.net dit qu'il ne faut que 10 jours pour briser ce mot de passe?
sgmoore
1

EDIT: D'autres ont donné de bonnes réponses pour la partie de votre question concernant "Est-il facile de casser un tel mot de passe par force brute? C'est-à-dire à quelle vitesse"

Pour répondre à cette partie de votre question:

De plus, existe-t-il des logiciels pour pirater en force la truecrypt parce que je veux essayer de cracker par force mon propre mot de passe pour voir combien de temps cela prend si c'est vraiment "très facile".

Voici une variété d'options pour le bruteforcing Truecrypt

En voici un autre de l'Université de Princeton.

Josh
la source
Cela ne répond pas à sa question sur la sécurité de son mot de passe court et présente à la place diverses autres attaques sur la plate-forme Truecrypt.
Josh K
@Josh K: Non, cela répond à sa question: "De plus, y a-t-il des logiciels pour pirater en force la truecrypt parce que je veux essayer de casser par force mon propre mot de passe pour voir combien de temps cela prend si c'est vraiment ce 'très facile'."
Josh
1
@Joshes maintenant maintenant, ne vous battez pas les uns contre les autres! Vous êtes tous les deux en fait la même personne, n'est-ce pas?
cregox
Non, en fait nous ne le sommes pas.
Josh K
0

Le mot de passe:

Il s'agit d'un mot de passe simple mais long.

est beaucoup plus résistant à la force brute, y compris aux attaques par dictionnaire, que:

sDvE98f1

Donc, utiliser un mot de passe court mais difficile est tout simplement contre-productif. C'est plus difficile à retenir et moins sûr.

Utilisez une phrase simple mais longue.

Thomas Bonini
la source
la source?
hyperslug
@hyper: mathématiques simples au lycée?
Thomas Bonini
1
Randall a une visualisation utile sur la longueur vs la complexité: xkcd.com/936
Charles Lindsay
0

La botte de foin de GRC a déclaré qu'il faudrait 36,99 minutes pour déchiffrer votre mot de passe lors d'une attaque hors ligne. https://www.grc.com/haystack.htm

xxl3ww
la source