Атака по словарю на пароли

Атака по словарю на пароли

Я подвергаю сомнению распространенный совет не использовать слова из словаря в предложении для пароля. Например, использовать «Меня зовут Сью!» в качестве пароля. На сайтах, которые я размещаю и которыми управляю, если вы не вводите именно эту строку символов, вы не попадаете. Я посмотрел словари, используемые некоторыми программами для взлома, и они представляют собой удивительные коллекции слов. Я быстро отказался от попыток найти слово, которого там не было, на каждом письменном языке. Так что использование голландского ругательства делает пароль паршивым. Но там не было фраз, и даже если бы они были, разве огромное количество возможных фраз и их перестановок не превратило бы это просто в еще одну форму атаки методом перебора?

Так почему же советуется не использовать слова из словаря в предложении для парольной фразы?

(мыльница)Я думаю, что ИТ оказали пользователям медвежью услугу, требуя все более сложные и невыносимые для запоминания пароли вместо того, чтобы посоветовать использовать парольную фразу. Я ищу обоснованный ответ, почему я думаю неправильно и должен вернуться к общему совету.(/мыльница)

решение1

Вы сравниваете пароли спарольные фразы. Парольные фразыобычно считаются превосходными, при условии, что люди не будут использовать общие фразы.

решение2

Как уже сказал 'Эрни', вы сравниваете пароли с парольными фразами. Совет не использовать словарные слова верен. Но использование парольных фраз в виде комбинации словарных слов всего на 'один шаг' менее опасно, как и другие трюки, направленные на создание запоминающегося пароля/фразы.

В настоящее время, в ситуации, когда у злоумышленника есть зашифрованная версия вашего пароля (фразы), он не просто проведет обычную атаку по словарю. Хакеры знают всетрюки(leetspeak, объединение слов, сложение чисел и т. д.).

Расширенная информация вSecurity Now, эпизод 366 «Обновление по взлому паролей: смерть «Clever»»(или прочитать еготранскрипт).

Я предлагаю вам использовать хороший генератор паролей, напримерLastPass(также подробно обсуждается в Security Now, эпизод 256) для генерации случайных паролей для вас. Люди плохи в случайных (либогенерируя егоилиобнаруживая это)

Если вам действительно нужны запоминающиеся пароли, вы можете использоватьпароль стогов сена техникакак альтернатива трудно запоминающимся случайным комбинациям. Здесь вы добавляете повторяющуюся строку (123 123 123) к короткой строке, содержащей максимальную энтропию (D0g!).

Какой бы метод вы ни выбрали,сделайте ваши пароли не менее чем 12 символами. ВсеПароли из 8 символов теперь можно взломать за 13 часовна машине для самостоятельной сборки, которая стоит 12000 долларов (в основном за графические процессоры)

решение3

Сложность подбора пароля зависит как минимум от двух переменных:

  • Длина пароля.
  • Допустимые символы пароля.

Первое очевидно. Если я ограничусь только буквами (26 строчных+26 заглавных), то

  1. Пароль из одной буквы можно угадать максимум за 52 попытки.
  2. Пароль из двух букв можно угадать максимум за 2704 попытки (52×52).
  3. Трехбуквенный пароль можно угадать максимум за 140608 попыток (52×52×52).

Как видите, количество комбинаций быстро растет. Поэтому чем длиннее пароль, тем сложнее его подобрать.ИТ-отделам следует поощрять использование длинных паролей.

Однако многие старые приложения принимают пароли длиной до 8 символов. Этого просто слишком мало для хорошей безопасности. Если вы ограничены таким ограничением в 8 символов или знаете, что ваши пользователи не будут использовать длинные пароли, есть еще один способ сделать пароли более сложными для подбора: сделайте так, чтобы пароль использовал более длинный набор входных данных, чем просто буквы. Добавьте цифры. Добавьтестранные вещи на клавиатуре.

Это не хорошее решение. Это обходной путь для компенсации для среднего пользователя или для старых систем. Пароль типаBatteryHorseStaple(длина 18) взломать гораздо сложнее, чем большинство коротких, но сложных паролей. Однако большинству людей будет лень его вводить.

Вы могли заметить, что я постоянно использовал терминперебор пароляи невзломать пароль. Это потому, что есть и другие способы узнать чьи-то пароли. Например, вы можете просто угадать.

Словари — это не более чем большие списки слов, которые нужно угадать, а программы взлома паролей достаточно умны, чтобы перебирать варианты слов в словарях.

Это делает слова в таком словаре непригодными как для паролей, так и для использования в парольных фразах.

Связанный контент