Una password è più semplice da applicare alla forza bruta se contiene uno schema ripetuto?

Naviga le tue risposte
4

La mia domanda è diversa da questa domanda precedente: La ripetizione di una parola per formare una password ha come risultato uno schema simile nel suo formato crittografato? . Mi sto chiedendo in particolare degli attacchi di forza bruta. Sulla base delle mie esperienze con John The Ripper , dubito che la ripetizione di uno schema in una password ridurrebbe il tempo necessario per forzare con successo la forza password come f00B @ rf00B @ rf00B @ r in contrasto con una stringa casuale di uguale lunghezza. Tuttavia, il mio dubbio si basa sul fatto che, in base alla documentazione , JTR non include uno specifico modalità di attacco per la ripetizione di modelli. JTR, e presumibilmente altri strumenti di forza bruta, possono essere personalizzati per qualsiasi modalità di attacco arbitrario. Ma non possiamo sapere con quale frequenza gli aggressori si preoccupano di personalizzare gli attacchi in questo modo. Quindi la domanda diventa matematica. Per favore perdona l'imbarazzante notazione pseudo-matematica. 

T = brute force cracking time

PL = pattern of characters of length L

N = number of times PL is repeated

R(LN) = string of random characters of length (L times N)

Sarebbe vero che 

T(PL*N)= T(R(LN))

Se è vero, allora una password di pattern ripetuto non influirà sul tempo di cracking della forza bruta. Ma è vero?

    
posta Luke Sheppard 13.10.2012 - 20:06
fonte

2 risposte

7

Qui ci sono tre scenari:

L'attaccante non ha conoscenza dello schema del modello:
Quando l'attaccante non ha conoscenza degli schemi, il tentativo di forza bruta dovrà essere esaustivo. L'attaccante non ottiene alcun miglioramento pratico in termini di efficienza, perché non ha modo di conoscere la costruzione della password.

L'attaccante ha una conoscenza completa dello schema del modello: Se l'utente malintenzionato conosce i pattern, può migliorare l'efficienza del suo attacco bruteforce non tentando password che non corrispondono allo schema del pattern.

L'attaccante non ha alcuna conoscenza iniziale dello schema del modello e sono disponibili più hash:
Se l'utente malintenzionato non ha una conoscenza iniziale del modello, ma ha un numero di diversi hash per le password da decifrare (tutti usano lo stesso schema per la password), può crearne un piccolo numero tramite esauriente forza bruta, quindi dedurre il modello. Da lì, l'attacco diventa molto più efficiente.

    
risposta data 14.10.2012 - 11:08
fonte
4

La conoscenza del modello di password potrebbe darti una reale accelerazione nel metodo della forza bruta. Se sai che la password brute-force è una password ripetuta, puoi ridurre il tempo di cracking.

Se sai che la password è composta da N le stesse parti, allora tutto ciò che devi fare è trovare quella parte. Quindi, per accelerare il processo di cracking, è necessario aggiungere alcune linee alla funzione forza bruta. Supponiamo che l'algoritmo forza bruta verifichi se la tua password è abba . Prima di lasciarlo andare a un altro passaggio (controllando abbb ), dovresti "incollare" quello che prova e controllare le password come abbaabba , abbaabbaabba e così via.

    
risposta data 13.10.2012 - 22:07
fonte

Leggi altre domande sui tag

Quali sono i metodi per prevenire i download di hooker / drive-by del browser? Come faccio a proteggermi dal 'foro 196'?