DPAPI attacco offline cracking password di Windows?

3

Sto pensando di usare DPAPI per proteggere le informazioni sul file di configurazione nel mio programma. Dopo aver fatto qualche lettura, sembra che usi la password di Windows dell'utente come parte del processo di crittografia. Ora, ho sentito che ci sono strumenti (come il disco di avvio di Hieren) che possono rompere le password di Windows "facilmente". DPAPI può essere conteggiato per qualsiasi tipo di sicurezza nel caso in cui un utente malintenzionato abbia accesso fisico al disco rigido e la password di Windows sia decentemente complessa? (Maiuscolo, minuscolo, numero, lunghezza simbolo 8+)

    
posta John 17.09.2012 - 19:32
fonte

1 risposta

3

In base a questo libro , la password dell'utente viene espansa in una chiave di crittografia (per DPAPI) utilizzando il PBKDF1 funzione di derivazione chiave, configurata per utilizzare SHA-1 con 4000 iterazioni di default. PBKDF1 è descritto in RFC 2898 (sezione 5.1). Un utente malintenzionato con qualche GPU di grandi dimensioni potrebbe calcolare, forse, quattro miliardi di SHA-1 al secondo, quindi provare circa un milione di potenziali password al secondo. Se la tua password ha 8 caratteri casuali da un alfabeto di dimensione 64 (lettere maiuscole e minuscole, cifre e due simboli), allora ha entropia 48 bit (perché 64 8 = 2 48 ), e l'attaccante dovrà provare, in media, circa 2 password 47 prima di trovare quella giusta. A un milione di password al secondo, questo richiederà circa quattro anni.

Fai attenzione che Windows ha l'abitudine di ignorare il caso in molti punti: dovresti controllare se maiuscole e minuscole sono effettivamente distinte per quanto riguarda la verifica della password.

(Il libro dice "di default" che potrebbe implicare che il parametro "4000" è configurabile - ma non so come.)

    
risposta data 17.09.2012 - 20:39
fonte

Leggi altre domande sui tag