Lunghezza della password nota, carattere forza bruta in posizione?

Naviga le tue risposte
1

Sappiamo tutti che la forzatura bruta è un processo molto lento e provare tutte le possibilità non necessarie è stupido. Conoscendo la lunghezza della password, possiamo saltare la possibilità di provare altre lunghezze delle password e ci risparmia enormi quantità di tempo. Ancora questo cambiamento è insignificante per le password molto lunghe. Quindi mi stavo chiedendo se possiamo potenziare la forza di ogni personaggio sul posto. Sarebbe come spezzare una combinazione per un blocco meccanico. Proviamo tutti i personaggi sul posto finché non "scatta" in posizione, quindi passiamo al carattere successivo e così via.

    
posta Mywiki Witwiki 12.10.2012 - 01:37
fonte

2 risposte

7

Se disponi di un meccanismo di verifica della password che ti consente di sapere, in qualsiasi modo, se una determinata lettera è corretta o meno, indipendentemente dagli altri, allora hai un meccanismo di verifica password terribilmente debole e stupidamente progettato . Questo è quello che succede quando lasci che gli sceneggiatori di Hollywood si occupino della realtà.

Questo gioco da tavolo è un'illustrazione di quanto sia grave: se una lettera "scatta in posizione" ", come hai detto tu, la tua password può essere battuta da un bambino di 8 anni dai primi anni '70 (e senza alcun computer). Spero strongmente che la sicurezza della schermata di accesso sia aumentata un po 'oltre il livello di sicurezza di Disco kid.

    
risposta data 12.10.2012 - 03:16
fonte
2

Potresti se la verifica della password è stata eseguita molto male. Vale a dire se il verificatore di password fa quanto segue:

  1. Il verificatore di password memorizza le password in chiaro (e non hash come dovrebbero essere)
  2. Il verificatore della password confronta direttamente l'ipotesi e la password (e non un hash dell'ipotesi e la password)
  3. Il verificatore di password si comporta diversamente a seconda di quale carattere il controllo della password non riesce su
  4. Il verificatore della password non limita il numero di tentativi falliti

La prima condizione è la più importante. Se l'implementatore di un verificatore di password memorizza le password, è improbabile che si siano presi la briga di implementare un algoritmo di confronto delle password sicure.

È triste a dirsi, ma esiste un numero sorprendentemente elevato di siti Internet che memorizzano le password in chiaro. PlainTextOffenders.com è un blog (Tumblr) dedicato a "visitare" tali siti e contiene molte centinaia di tali siti.

Se un servizio memorizza le password in chiaro, è probabile che sia suscettibile a una forma di attacco di canale laterale definito un tempismo attacco ". Se il verificatore della password controlla un carattere alla volta e restituisce un messaggio di errore della password quando incontra il primo carattere non corrispondente, è possibile indovinare un carattere alla volta (partendo dal primo) e in base alla tempistica del messaggio di errore identificativo ogni personaggio A causa della rumorosità intrinseca dei tempi di comunicazione su Internet, dovresti provare ogni possibilità più di una volta, ma sarebbe comunque sostanzialmente più veloce di un semplice attacco di forza bruta.

    
risposta data 12.10.2012 - 05:27
fonte

Leggi altre domande sui tag

Riferimenti a problemi di inserimento di backdors in opensource (come OpenBSD) da parte dell'FBI o della CIA [chiuso] Applicabilità alla vulnerabilità di Java