Utilizzo di una password debole su un volume TrueCrypt

Questo state TrueCrypt utilizza una funzione hash come SHA-1 e le chiavi lo rafforzano da un fattore di ~ 2000 volte. Quindi se il tuo aggressore sapeva che era un numero di quattro cifre; ci vorrebbe che il tuo aggressore sotto i 10000 tentativi di crack, il che significa che avrebbero bisogno di circa 2000 × 10000 = 20 milioni di sha1 hash. Una GPU può generare hash sha1 a circa un miliardo al secondo; quindi la tua soluzione non sopravviverebbe al più semplice tentativo di cracking della password.

Se la sicurezza dei tuoi dati è un requisito , ti consiglio invece di un numero a quattro cifre (13 bit di entropia: 2 ^13,3 ≅ 10000); utilizzando una passphrase diceware a quattro parole (o più lungo) (~ 52 bit: 2 ⁵² ≅ (6 ⁵ ) ⁴ ≅ 4 × 10 ¹⁵ ). Invece di sopravvivere per circa 1/50 di secondo, la tua passphrase sopravviverebbe per circa ~ 200 anni di un attacco GPU dedicato. Questo è nel regno di fragilità in pochi mesi da organizzazioni molto grandi che sono molto interessate a ottenere i vostri dati (pensate all'NSA con una server farm di migliaia di GPU dedicate a crackare la vostra crittografia), ma protetti da tutte le minori minacce brute-force (e aggiungere un paio di parole alla passphrase potrebbe proteggere contro organizzazioni molto grandi). (MODIFICA: esistono altri metodi che potrebbero essere utilizzati, ad esempio i keylogger nascosti per rubare la passphrase).

Poiché la prefazione alla Crittografia applicata la mette:

There are two kinds of cryptography in this world: cryptography that will stop your kid sister from reading your files, and cryptography that will stop major governments from reading your files.

La tua attuale soluzione previene gli attacchi di "sorellina" del mondo, ma non sarebbe molto più difficile passare al tipo di "governo principale" se lo desideri .

Formalmente, sì. Hai identificato un livello di rischio residuo che sei disposto ad accettare, basato su un'analisi delle minacce e hai implementato i controlli per gestire il rischio fino a questo livello.

Informalmente, come altri hanno sottolineato, se un controllo può essere reso molto più strong con costi molto bassi, allora dovresti farlo comunque. L'analisi del rischio e la modellizzazione delle minacce non sono scienze molto precise.

Qualcosa come Courage8366gapor non è molto più difficile da ricordare o digitare rispetto a un codice PIN a 4 cifre, ma il PIN impiega meno di un secondo a forza bruta e la passphrase richiederebbe tra 2 giorni e 10 volte l'età della Terra .

Un argomento contro questo è che non si dovrebbe prendere l'abitudine (indipendentemente dal fatto che il rischio sia accettabile o meno) di scegliere password deboli. Dal momento che sei abbastanza attento alla sicurezza da usare TrueCrypt, sembra che il costo marginale dell'uso di una passphrase decente sia pari a zero.

In generale, penso che avere poca sicurezza sia worst che non avere alcuna sicurezza.

Perché quando non si ha sicurezza, si sa che non si ha sicurezza e non si fiderebbe di conservare cose importanti. Quando si ha poca sicurezza, si potrebbe finire per dover tracciare una linea tra cose importanti e cose non così importanti contro semplicemente tenere lontane le curiosità. E se non riesci a determinare il punto esatto, puoi "perdere" informazioni che non vorresti, in realtà.

Quindi, se vuoi essere sicuro, assicurati di essere sicuro e scegli una buona password.

My aim was to make it at least a little wrong for someone to access the documents, sort of like a padlock to keep out the honest criminals.

In primo luogo, i criminali onesti sono una razza piuttosto rara e, nell'equilibrio delle probabilità, è più probabile che non incontrare l'altra variante più comune, la varietà disonesta.

In secondo luogo è molto più facile perdere una chiavetta USB rispetto a un laptop a causa delle sue dimensioni e della sua portabilità lasciandola accidentalmente in un computer cyber cafè o semplicemente derubandola.

Quindi, sul bilanciamento delle probabilità di nuovo, c'è un'alta probabilità che la tua chiavetta USB finisca nelle mani di qualcuno che non è un criminale onesto che dire un laptop, quindi il livello di sicurezza deve essere più alto.

Come regola generale, è necessario utilizzare una password complessa sia sul laptop che sulla chiavetta USB poiché una buona sicurezza non dipende dal fatto che il computer sia stato rubato o meno, se è portatile e lo si sposta, quindi è più a rischio di un computer desktop fermo.