E 'possibile forzare la forza bruta tutte le password di 8 caratteri in un attacco offline?

Come da questo link , con una velocità di 1.000.000.000 di password / sec, il cracking di una password di 8 caratteri composta da 96 caratteri richiede 83,5 giorni. Research presentato a La password ^ 12 in Norvegia mostra che le password NTLM a 8 caratteri non sono più sicure. Possono essere rotti in 6 ore su una macchina che costa ~ $ 8000 nel 2012.

Una cosa importante da considerare è quale algoritmo viene utilizzato per creare questi hash (supponendo che si stia parlando di password con hash). Se viene utilizzato un algoritmo ad alta intensità di calcolo, la percentuale di cracking della password può essere ridotta in modo significativo. Nel link sopra, l'autore sottolinea che "il nuovo cluster, anche con il suo aumento di quattro volte della velocità, può fare solo 71.000 tentativi contro Bcrypt e 364.000 tentativi contro SHA512crypt."

Ho visto che non è aggiornato al 2018.

Hashcat rompe un 8 carica completa (a-zA-Z0-9! - =) password in 26 giorni su una singola GPU 1080 Nvidia.

Eccoun'immaginediunimpiantodiperforazioneminerarioconGPUchepotrebbeancheessereimpostatoperl'hashcracking:

Possibile? si, ma quale durata di recupero della forza bruta è accettata come possibile? Alcuni numeri per 8 caratteri PW se scelti a caso da un set di 94 caratteri:

• Windows PW (NTLM: 1), utilizzando il mostro di recupero 25 GPU sopra indicato: in media 2,2 ore
• WiFi (PBKDF2 / SHA1: 4096) che utilizza un sistema di recupero a 8 GPU: in media 98 anni
• 7ZIP (PBKDF2 / SHA256: 262144) utilizzando un sistema di recupero a 8 GPU: 26 secoli

Quindi è "possibile" per alcuni casi per noi, può essere sì in tutti i casi di cui sopra per alcune agenzie.

Supponiamo che il set di hash "ottenuti" contenesse 5 milioni di hash per le password, quindi anche per il caso WiFi da 98 anni, 145 chiavi saranno trovate il giorno 1 (in media). Se la tua password è tra queste, allora puoi provare che anche per il caso WiFi è possibile! .... se i miei calcoli sono corretti

So di una modesta dimostrazione (febbraio 2012, link ) che richiedeva il potere di fare 400 miliardi di ipotesi al secondo su un sistema a 25 GPU. In tal caso, una password di 8 cifre verrebbe bruciata in meno di 6 ore; prima dipende dal metodo della forza bruta. Ma ciò presuppone che l'attaccante abbia accesso al file che memorizza la password crittografata. E francamente, è facile da fare, se hai accesso al computer stesso. Anche se non è possibile accedere all'HDD, l'autore dell'attacco sostituirà semplicemente la tastiera con un computer che invierebbe "sequenze di tasti" molto più velocemente di quanto si possa digitare. Potrebbe essere necessario più tempo, a causa della velocità della connessione USB, ma la frequenza di battitura umana non è un buon riferimento a questo proposito.

Come nota a margine .....

Sulla questione dei caratteri usati in una password, questo non è così semplice come la maggior parte delle persone afferma. Ciò che conta di più è ciò che l'attaccante si aspetta di dover provare, non i personaggi che hai scelto. In altre parole, ciò che conta di più è ciò che i personaggi OGNUNO nel sistema usano, non solo voi. Ad esempio, una sequenza casuale di 'X', 'Y' e 'Z' è altrettanto difficile da indovinare come una sequenza casuale di tutte le lettere dell'alfabeto ... purché gli attaccanti non sappiano che preferisci X, Y e Z. Ma se, nonostante la disponibilità di 100 cifre, è noto all'attaccante che tutti usano solo X, Y e Z, quindi l'attaccante può restringere l'attacco di forza bruta e negare il beneficio di 100 cifre sistema di sicurezza. Il principale di questo è identico a quello dell'attacco del dizionario. Questo è il motivo per cui gli amministratori di sistema potrebbero costringere tutti a utilizzare tipi di caratteri diversi; per assicurarsi che un eventuale intruso debba provare tutte le permutazioni.

Questo non vuol dire che i caratteri specifici usati in una password non influenzino la velocità con cui è rotto. Cioè, quando qualcuno dice "una password di 8 cifre impiega 10 anni di pausa", quel 10 anni è il tempo MASSIMO richiesto. Una dichiarazione più accurata sarebbe: "occorrono 10 anni per testare tutte le combinazioni di password a 8 cifre". Ma il fatto è che alcune password potrebbero essere indovinate molto più velocemente a seconda della selezione del personaggio e del metodo di attacco. Ad esempio, se la password del sistema alfanumerico di 100 caratteri (ad es. 0-9 ...... AZ) e l'attacco di forza bruta utilizza ipotesi sequenziali, una password che inizia con uno "0" verrà interrotta almeno 100 volte più veloce di una password che inizia con il carattere LAST in quella sequenza (chiamiamola 'Z'). Ma questo è difficile da gestire poiché non si può mai sapere quale ordine possa essere usato dall'attaccante. Ad esempio, l'attaccante considera A o 0 la prima cifra? Ed è Z o 9 l'ultima cifra? O se l'hacker sa che tutti usano password che iniziano con caratteri verso la fine dell'alfabeto, allora lui / lei può provare la forza bruta in sequenza inversa e la password che inizia con '0' sarà più sicura.

Sfortunatamente, la velocità con cui le password vengono interrotte riguarda tanto il numero di cifre quanto la prevedibilità del comportamento umano.

Basta non confondere le tecniche di cracking della password con la forza bruta.

La forza bruta significa letteralmente iniziare con 1 carattere provando tutto il possibile in ordine alfabetico, passando poi a 2 caratteri, 3, 4, ecc ...

Una volta applicato un algoritmo o una logica euristica, non viene più chiamato forza bruta.

Quindi perché le persone parlano ancora di forza bruta? Il motivo è che per applicare una tecnica di forza bruta non è necessario alcun pensiero speciale e la quantità di persone in grado di eseguire una tecnica di forza bruta è probabilmente 10 volte più grande della quantità di coloro che possono scaricare uno strumento di cracking da Internet e usalo per crackare la password.

Un altro motivo è che se avessi scelto una password di 8 caratteri come j$d1Ya+3 le tecniche "intelligenti" non sarebbero di grande aiuto, quindi alcune persone vogliono capire quanto tempo impiegherà la forza bruta a funzionare.

Da blog bit9 :

In order for a password to be considered secure, it needs to be truly random and unique.

What Does it Mean to Be Truly Random?

Many people often choose a base word for their password, like “password,” and transform it to be logically “complex.” So they’ll replace letters with special characters or digits and add some capitalizations. So a password that was “password” becomes P@55w0rD. In fact, if each letter could be one of an uppercase, lowercase, or special character, there are 6,561 (38) versions of “password” – which is far from an unbreakable amount.

Thus, a hacker using a brute force technique isn’t just going to start with “aaaaaaaa” and go down the list, “aaaaaaab”, “aaaaaaac”, etc. He is going to apply intelligence to the cracking. That intelligence most often involves using common base words. So not only will he try cracking the very simple “password” but also all 6,561 versions, to include the complex “P@55w0rD”.

There are approximately 220,000 dictionary base words, meaning that even if you added up to three extra digits to your transformed, base-word-based password and formed something like “P@55w0rD123,” a computer would take about 26 minutes to crack it – no matter how long the password is. With complete randomness in a password, hackers can’t make common base word assumptions about your password and cut down the brute force space.

But that’s not all. A secure password must also be unique.

What Does it Mean to Be Unique?

Unfortunately, some companies still store actual text passwords in their databases instead of the hashes so if a hacker gets into the system, he now has more base words to add to his roster. So if you use the same password, or even base word, for two accounts and one of those is compromised, no matter how long or random it is, that hash and password are now known. The hacker can then log in to any account that you are using the same password for. This also means that if someone else uses your password, or some version of it as outlined above, you are compromised.