Насколько безопасный пароли с под 20 длинами символов?
Мне нравится использовать сквид с опцией пулов задержки как действительно простая начальная точка. Слабость этого решения - то, что оно только поможет с типами трафика, который может быть вызван через прокси.
Для установки его, Вы просто помещаете сквид на свое конечное устройство, настраивают по мере необходимости. Настраивание клиентов для протоколов, которые не могут быть прозрачно прерваны.
Это - интересная статья http://www.lockdown.co.uk/?pg=combi&s=articles, которую это подробно излагает, сколько времени это теоретически взяло бы к грубой силе пароль для differnt длин и наборов символов.
-
1Хорошо, это - очень интересная ссылка. Это дает хороший ideea того, в какой силе Вы нуждаетесь для во сколько кадр. Так, учитывая достаточное количество ресурсов, it' s также возможный повредить 8 символьных паролей, особенно если it' s не хороший. – cmserv 21 July 2009 в 11:25
-
2It' s все еще собирающийся брать 83,5 дня в 100 000 паролей/секунда. That' s не действительно возможный для большинства нападений. Особенно, если you' ре, говорящее о пароле сервера, а не pgp пароле. Если они don' t имеют хеш, 8 (случайных) символов является чрезвычайно небьющимся. – Cian 21 July 2009 в 11:25
-
3Я wasn' t говорящий о паролях сервера, потому что я знаю там Вас, может использовать намного более простые пароли, потому что серверы предлагают дополнительную защиту от нападений. Я имел в виду в других случаях, например, шифровании файлов. – cmserv 21 July 2009 в 11:48
Вы могли бы хотеть указать, кто бы ни записал что политика в этом сообщении в блоге от Bruce Schneier.
Это - хорошая рецензия того, почему сила паролей является наименьшим количеством чьих-либо проблем в сети.
-
1+1, поскольку Bruce Schneier является королем безопасности, его слово является законом. – Mark Davidson 21 July 2009 в 11:03
Посмотрите на принятый ответ в этом сообщении. Шоу, которые даже 8 символьных паролей с помощью полного спектра символов могут занять ~10 000 лет для взламывания!
-
1Я предполагаю что Ваше обращение к нападению класса A (10 000 Паролей/секунда). Если я смотрю на эту таблицу и думаю о крупном учреждении, чем это просто могло бы быть выполнимо для 86 Символов, 8 символьных паролей, класса E или нападения F: с 34 до 346 Дней. Это не 10 000 лет ;) – cmserv 21 July 2009 в 16:29
-
2
При подсчете использования таблиц радуги как грубая сила (мнения варьируются), затем для 8 символов, с помощью таблиц радуги, которые включают все символы в пароль, приблизительно 10 секунд. 20 символьных паролей (те же символы, те же таблицы радуги), меньше чем 30 секунд. Выгода - то, что требуется много времени для генерации таблиц. Мой занял приблизительно месяц для генерации на машине на 3 ГГц, обрабатывающей только ночью. С другой стороны, только необходимо сделать это однажды.
Проблема попытки помнить длинные пароли легко решена комбинацией символьной замены и использования фразы. Даже что-то столь же простое, "#Fr3ddy M3rcury#" достаточно сложен для большей части использования, все же удивительно легко помнить.
-
1Пароли MD5 используют довольно большую соль. Я don' t думают, что Ваши таблицы радуги будут достаточно большими, чтобы иметь и все 8 символьных паролей и все соли для каждого возможного пароля. – chris 21 July 2009 в 15:59
-
2Вы рискнули бы своей безопасностью на этом? Мои таблицы составляют в общей сложности 25 ГБ. That' s 40 таблиц на уровне 650 МБ каждый. Однажды I' ll генерируют большой набор.:) – John Gardeniers 21 July 2009 в 16:49
-
3Гм, not' t там 2^32 солит для пароля MD5? That' s 2^32*650mb. Удача с этим. – chris 22 July 2009 в 00:02
-
4Я сделал таблицы радуг для всего символа ASCII, 64 ГБ хешей LM заняли почти неделю с помощью 20 узлов мой университетский кластер. Займите приблизительно 3 минуты для прохождения через довольно умственный. Допускает взламывание всех паролей Windows < = 16 символов. – Mark Davidson 22 July 2009 в 11:00
-
5Согласно Википедии, LM хеширует don' t имеют соль. Пароли MD5 действительно имеют соль, что означает, что любой единый пароль может иметь (saltspace*password) хеши, что означает, что у Вас должна быть 1 таблица радуги на соль. – chris 23 July 2009 в 15:21
Полагайте, что пароль с восемью символами можно помнить. Пароль с 20 символами будет записан.
И затем кто-то может считать его.
-
1You' право ре. И может также быть много других факторов, которые будут влиять на тип безопасности для зашифрованных файлов. – cmserv 21 July 2009 в 11:53
-
2Очень длинный пароль не может обязательно быть записан, если это - ряд 5 нормальных английских/Ваших слов языка. Мозги способны помнить их и существуют многие из них там. – chris 21 July 2009 в 16:03
-
3Говорите за свой мозг. Мой завершает работу прямо при мысли о запоминании 20 символов. – John Saunders 21 July 2009 в 16:09
-
4Если Ваш пароль был " метафизическая темница кишечника проникает в stagnates" you' d, вероятно, смочь помнить это после использования его пару раз. – chris 22 July 2009 в 00:08
-
5Нет. Никакие отношения между словами. Никакая история для сообщения это I' d не забывают определять мне следующее время, что мне нужен пароль. Я использую программу генератора пароля для генерации случайных паролей (я использую по крайней мере восемь символов в любом случае). Я продолжаю генерировать, пока я не вижу пароля, который я могу превратить в слово, которое я могу помнить, как " cinnademo" = " cinnamon" + " demonstration". , Что , я могу обработать. – John Saunders 22 July 2009 в 09:35
Можно интересоваться статьей "Passwords vs Passphrases". Их заключение состоит в том, что 9 символьных полностью случайных паролей об эквиваленте 6 паролям слова. Но они чувствуют, что 6 фраз слова было бы легче помнить.
Все это зависит от символов, которые Вы используете, поскольку это изменяет количество комбинаций, Вы имеете. Принятие 8 символов:
Слово словаря:
egrep "^.{8}$" /usr/share/dict/words | wc -l 15601Строчные буквы: 268 или 208827064576
Строчные и прописные буквы: 528 или 53459728531456
Ниже, верхний и числа: 628 или 218340105584896
Добавьте пунктуацию и другие символы, и грубое принуждение собирается занять время.
Те числа являются общими комбинациями, которые оказываются перед необходимостью быть попробованными. Очевидно, хакер не собирается пробовать каждую комбинацию после того, как у них есть пароль, поэтому разделитесь на два для получения среднего количества требуемых комбинаций.
Более твердый результат хешей в более длительное процессорное время для вычисления хеша, таким образом, общее время дольше. Пример от Джона:
Benchmarking: Traditional DES [64/64 BS]... DONE Many salts: 819187 c/s real, 828901 c/s virtual Only one salt: 874717 c/s real, 877462 c/s virtual Benchmarking: BSDI DES (x725) [64/64 BS]... DONE Many salts: 29986 c/s real, 30581 c/s virtual Only one salt: 29952 c/s real, 30055 c/s virtual Benchmarking: FreeBSD MD5 [32/64 X2]... DONE Raw: 8761 c/s real, 8796 c/s virtual Benchmarking: OpenBSD Blowfish (x32) [32/64]... DONE Raw: 354 c/s real, 356 c/s virtual Benchmarking: Kerberos AFS DES [48/64 4K]... DONE Short: 294507 c/s real, 295754 c/s virtual Long: 858582 c/s real, 863887 c/s virtual Benchmarking: NT LM DES [64/64 BS]... DONE Raw: 6379K c/s real, 6428K c/s virtual Benchmarking: NT MD4 [Generic 1x]... DONE Raw: 7270K c/s real, 7979K c/s virtual Benchmarking: M$ Cache Hash [Generic 1x]... DONE Many salts: 12201K c/s real, 12662K c/s virtual Only one salt: 4862K c/s real, 4870K c/s virtual Benchmarking: LM C/R DES [netlm]... DONE Many salts: 358487 c/s real, 358487 c/s virtual Only one salt: 348363 c/s real, 348943 c/s virtual Benchmarking: NTLMv1 C/R MD4 DES [netntlm]... DONE Many salts: 510255 c/s real, 512124 c/s virtual Only one salt: 488277 c/s real, 489416 c/s virtual
Конечно, это является все абсолютно академическим, потому что хакеры просто позвонят Вашему секретарю, говорящему им, что они от IT, и им нужен их пароль для чего-то, и Ваш сильный пароль бесполезен.
Существует безопасность, которую Вы получаете от передачи клиента/сервера, например, как Вы сказали, когда Вы можете остановить взломщиков после 3 попыток (когда они нападают по сети, как с веб-приложениями). С этим сценарием почти любая длина пароля может быть обсуждена как достаточная.
Если однако инсайдер захватывает эту базу данных с хешированными короткими паролями и может обойти "по сетевому" ограничению 3 попыток, игровых изменений.
Протест с ограничением количества попыток на учетную запись состоит в том, что это будет достаточно только для целенаправленных попыток одной определенной учетной записи. Также необходимо защитить от нападения на все учетные записи с данным (или переставленный) пароль - это не инициирует предупреждения, когда Вы просто ограничите количество попыток на учетную запись. Учитывая сегодняшний NAT и ботнеты, Вы не можете даже утверждать, что ограничение количества попыток на IP является хорошей безопасностью образа мыслей.
Хорошие ресурсы для чтения были уже даны в других ответах.
Я использую нетривиальные пароли для защиты
* assets that are important * stuff that's not subject to anti-hammering (lock-out after repeated attempts) * stuff that can conceivably be exposed to brute-forced/dictionary-based/hybrid attacks
Я менее обеспокоен своей учетной записью Gmail, так как попытки "в лоб" взламывания того пароля просто заблокируют учетную запись (и любой с доступом к серверу просто заменил бы хеш одним из их выбора, не пытаются взломать его).
Лучший пароль долог (> 12 символов) и криптографически случаен. Однако это более трудно помнить. Так, пароль, который комбинирует несколько слов с на вид случайными символами, мог бы быть хорошим компромиссом (возможно, первая 1 или 2 буквы первых строк пары Вашей любимой лиричной песни).