비밀번호에 대한 사전 공격

비밀번호에 대한 사전 공격

비밀번호 문장에서 사전 단어를 사용하지 말라는 일반적인 조언에 대해 질문하고 있습니다. 예를 들어 "내 이름은 Sue입니다!"를 사용하는 경우입니다. 비밀번호로. 내가 호스팅하고 관리하는 웹사이트에서는 입력할 수 없는 정확한 문자열을 입력하지 않으면 관리합니다. 일부 크래킹 소프트웨어에서 사용하는 사전을 살펴보았는데 놀라운 단어 모음입니다. 나는 모든 문자 언어에 없는 단어를 찾으려는 노력을 빨리 포기했습니다. 따라서 네덜란드어 욕설을 사용하면 비밀번호가 형편없게 됩니다. 그러나 거기에는 문구가 없었고, 설사 가능한 문구의 수와 그 순열이 단순히 다른 형태의 무차별 대입 공격으로 바뀌지 않았을까요?

그렇다면 암호문 문장에서 사전 단어를 사용하지 말라고 조언하는 이유는 무엇일까요?

(비누 상자) IT가 암호 문구를 사용하라는 조언을 제공하는 대신 암호를 기억하는 것이 훨씬 더 복잡하고 불가능하도록 요구함으로써 사용자에게 해를 끼쳤다고 생각합니다. 왜 잘못된 생각을 하고 있는지, 일반적인 조언으로 돌아가야 하는지 합리적인 답을 찾고 있습니다.(/soap box)

답변1

비밀번호를 다음과 비교하고 있습니다.암호. 암호일반적으로 우수한 것으로 간주됩니다., 사람들이 일반적인 문구를 사용하지 않는 한.

답변2

'Ernie'가 이미 말했듯이 비밀번호와 암호 문구를 비교하고 있습니다. 사전에 나오는 단어를 사용하지 말라는 조언은 확실합니다. 그러나 사전 단어의 조합으로 암호 문구를 사용하는 것은 기억에 남는 암호/문구를 만들려는 다른 트릭과 마찬가지로 덜 위험합니다.

요즘에는 공격자가 귀하의 비밀번호(문구)의 암호화된 버전을 가지고 있는 상황에서 그는 단지 일반적인 사전 공격을 수행하지는 않습니다. 해커들은 다 알고 있다트릭(리츠피크, 단어 연결, 숫자 추가 등).

확장된 정보Security Now 366화 "비밀번호 크래킹 업데이트: '클레버'의 죽음"(또는 읽어보세요성적 증명서).

다음과 같은 좋은 비밀번호 생성기를 사용하는 것이 좋습니다.라스트패스(Security Now 에피소드 256에서도 집중적으로 논의됨) 무작위 비밀번호를 생성합니다. 인간은 무작위로 나쁩니다 (둘 중 하나그것을 생성또는그것을 감지)

기억에 남는 비밀번호를 정말로 원한다면 다음을 사용하는 것이 좋습니다.비밀번호 건초 더미 기술기억하기 어려운 무작위 조합에 대한 대안으로. 여기서는 최대 엔트로피(D0g!)를 포함하는 짧은 문자열에 반복 문자열(123 123 123)을 추가합니다.

어떤 방법을 선택하시든,비밀번호를 12자 이상으로 설정하세요. 모두8자 비밀번호, 이제 13시간 안에 해독 가능$12000(주로 GPU용)의 DIY 머신에서

답변3

비밀번호를 무차별 공격하는 것이 얼마나 어려운지는 최소한 두 가지 변수에 따라 달라집니다.

  • 비밀번호 길이.
  • 허용되는 비밀번호 문자입니다.

첫 번째는 분명합니다. 문자(소문자 26개+대문자 26개)로만 제한하면

  1. 단일 문자 비밀번호는 최대 52번의 시도로 추측할 수 있습니다.
  2. 두 글자 비밀번호는 최대 2704회 시도(52×52)로 추측할 수 있습니다.
  3. 3자리 비밀번호는 최대 140,608회(52×52×52) 시도하면 추측할 수 있습니다.

보시다시피 조합 수가 급격히 증가합니다. 따라서 비밀번호가 길수록 무차별 대입 공격이 더 어려워집니다.IT는 긴 비밀번호를 권장해야 합니다.

그러나 많은 기존 애플리케이션에서는 최대 8자까지의 비밀번호만 허용합니다. 이는 보안을 강화하기에는 너무 짧습니다. 8자로 제한되는 경우. 제한하거나 사용자가 긴 비밀번호를 사용하지 않을 것이라는 것을 알고 있는 경우 비밀번호를 무차별 공격하기 어렵게 만드는 또 다른 방법이 있습니다. 즉, 비밀번호에 문자보다 더 많은 입력을 사용하도록 만드는 것입니다. 숫자를 추가하세요. 추가하다키보드의 이상한 것들.

이는 좋은 해결책이 아닙니다. 일반 사용자나 오래된 시스템에 대한 보상을 위한 해결 방법입니다. 다음과 같은 비밀번호배터리말스테이플(길이 18)은 대부분의 짧지만 복잡한 비밀번호보다 해독하기가 훨씬 어렵습니다. 그러나 대부분의 사람들은 너무 게으른 나머지 이를 입력할 수 없습니다.

내가 이 용어를 일관되게 사용했다는 것을 알 수 있을 것입니다.무차별 암호 대입그리고는 아니다비밀번호를 해독하다. 다른 사람의 비밀번호를 알아내는 다른 방법이 있기 때문입니다. 예를 들어, 추측만 하면 됩니다.

사전은 추측할 수 있는 단어의 큰 목록에 지나지 않으며, 비밀번호 크래킹 프로그램은 사전에 있는 단어의 변형을 시도할 만큼 똑똑합니다.

이로 인해 사전에 있는 단어는 비밀번호와 비밀번호 문구에 모두 적합하지 않게 됩니다.

관련 정보