Sono in un hotel che ha una rete pubblica. Ho una macchina Windows con una connessione cablata ad essa. "Rete e condivisione" ha rilevato la rete. Nessuna cartella è condivisa tranne "Utenti", che è condivisa per impostazione predefinita. È possibile che qualcuno sulla stessa rete ottenga la password per un account amministratore su una macchina Windows o Linux attraverso un attacco a forza bruta? Supponiamo che tutte le password degli utenti siano forti.
Se si assume che tutte le password del sistema siano forti, allora no.
La definizione di una password "strong" è che il tempo di completare un attacco di supposizione, sia che la forza bruta o con un elenco di "password comuni" sia lungo rispetto all'esposizione.
Se non vivi in hotel, te ne andrai (e l'esposizione finirà) prima che un utente malintenzionato possa aver acquisito la tua password tramite un attacco di forza bruta. ( Um, a meno che l'autore dell'attacco non abbia accesso fisico alla macchina, che non faceva parte della domanda.) D'altra parte, se la tua password è spezzata dalla forza bruta, non era "strong" ". C'è una brutta quantità di ragionamento circolare lì dentro. Fammi vedere se riesco a liberarmene.
La forza di una password è misurata in bit di entropia o casualità. Se la tua password è nell'elenco delle 500 password più comuni, hai circa 9 bit di entropia perché log 2 (500) è di circa 9. In altre parole, 2 9 = 512. Se utilizzi una password di cinque Dicew , avrai circa 55 bit di entropia perché ogni parola è disegnata da un elenco di circa 2000 parole e log 2 (2000) è circa 11. (2 11 è 2048.) Ottieni undici bit di entropia per ogni delle cinque parole, totale 55 bit di entropia.
Se uno può fare G suppone al secondo contro una password con n bit di entropia, allora il tempo medio di indovinare è 2 n- 1 / G perché, in media, l'attaccante "colpisce" circa a metà dei valori possibili.
Quindi, un esempio: una password con 28 bit di entropia e un utente malintenzionato può fare 2 supposizioni 10 al secondo, assumendo un attacco online. (Gli attacchi offline possono essere molto più veloci.) Ci vorranno circa 2 supposizioni 27 , o 2 27-10 secondi, o circa un giorno e mezzo. Se hai 55 bit di entropia nella password, sono 2 44 secondi, o circa 557.000 anni.
Ora hai una definizione abbastanza rigorosa di "forza" e puoi capire quanto deve essere strong la tua password per resistere a un attacco prolungato durante una permanenza in hotel di tre giorni. (C'è una grande ipotesi su G in là, però.)
Modifica: questa risposta risolve un attacco di forza bruta sull'interfaccia di accesso del sistema operativo, che è, penso, la domanda. Ci sono molti altri tipi di attacchi.
Leggi altre domande sui tag authentication network brute-force