È possibile che i tentativi di forza bruta abbiano successo prima del caso peggiore, corretto?

7

Quando ho letto che una password è sicura e affermando che ci vorrebbero X quantità di settimana, anni, ecc., non si tratta del caso peggiore?

Cosa succede se il metodo della forza bruta è successo in molto meno tempo del "caso peggiore"?

Il recente evento con LastPass in cui hanno notato molto traffico lasciando il loro server a pensarci. Qualcuno potrebbe aver scaricato i miei dati LastPass, che hanno tutti i miei nomi utente e password, e tentare un crack forzato su di esso per decrittografarlo? Ho usato una password molto lunga per crittografare i miei dati che dovrebbero essere difficili da decifrare, ma per quanto riguarda tra 5-10 anni quando abbiamo un hardware molto più veloce. Potrebbe essere rotto a quel punto?

    
posta Mark Norgren 18.09.2011 - 17:09
fonte

3 risposte

12

Per la maggior parte degli attacchi di cracking, il costo dell'attacco medio è circa la metà del costo del caso peggiore. In poche parole, se ci sono le N password possibili, colpirai quella giusta dopo circa N / 2 . Nota che questa è una media : puoi sempre "essere fortunato" o "sfortunato" su ogni singola istanza. Questo può essere quantificato: la probabilità di trovare la password corretta dopo aver provato M è M / N . Quindi, c'è una possibilità 1/10 di infrangere la password in un decimo del tempo del peggiore dei casi, 1/20 possibilità per il 20 ° del peggiore dei casi, e così via.

    
risposta data 19.09.2011 - 01:57
fonte
10

A volte le persone stimano quanto tempo ci vorrà per decifrare una password basata sul caso peggiore; a volte, in base al tempo medio per crearlo. Di solito, il tempo medio per decifrare la password è metà del tempo peggiore.

Certo, è possibile che qualcuno possa essere fortunato e crackare la password molto più velocemente del previsto. Diamine, non importa quanto sia strong la tua password, è possibile (almeno in teoria) che qualcuno potrebbe essere fortunato e capita di indovinare la tua password al primo tentativo - proprio come è possibile che potresti vincere alla lotteria di domani. Non è molto probabile, però. Allo stesso modo, non è molto probabile che qualcuno abbia la fortuna di crackare la password molto più velocemente del previsto.

In particolare, se il tempo peggiore per craccare la password è T , allora c'è una probabilità 1 / n che un utente malintenzionato crei la password in < em> T / n tentativi o meno. Ad esempio, se il caso peggiore è di 1000 anni, c'è una probabilità del 10% che un utente malintenzionato possa avere successo in 100 anni o meno, una possibilità dell'1% di riuscire in 10 anni o meno e una probabilità dello 0,1% che potrebbero avere successo in 1 anno o meno.

Se questo ti preoccupa, la migliore difesa è scegliere una password più strong (una che sarà più difficile da indovinare, quindi il tempo peggiore sarà più lungo).

    
risposta data 19.09.2011 - 01:57
fonte
6

La stima del tempo per quanto tempo impiegherà una forza bruta è fatta su diverse ipotesi ..

A seconda di come viene calcolata la stima, una di queste ipotesi è che il computer sia a conoscenza di quale set di caratteri è compresa la tua password. Se aggiungi un singolo simbolo non alfanumerico nella tua password, aumenta la complessità in misura considerevole.

Ogni carattere in più e ogni carattere che espande il set di caratteri che la forza bruta deve attraversare aumenterà la sicurezza della tua password.

Quando LastPass è stato presumibilmente compromesso, è probabile che i dati raccolti siano sotto forma di hash . Questi potrebbero essere violati tramite tabelle di curve tuttavia dovrebbero essere generati su un set abbastanza grande da includere la tua password, questo significa che puoi pre-generare tasti a forza bruta.

La seconda ipotesi importante è il numero di permutazioni che possono essere tentate al secondo. Ad esempio, è possibile generare le suddette tabelle arcobaleno con una vasta gamma di macchine, inoltre è sufficiente generarle una sola volta e possono essere riutilizzate.

    
risposta data 18.09.2011 - 18:12
fonte

Leggi altre domande sui tag