Sicurezza di una password casuale

0

i. Se scelgo una password casuale di lunghezza diciamo 15 dal set alfabetico della dimensione 94, cioè dallo spazio di ricerca di 94 ^ 15, la mia password è protetta da tutti i tipi di minacce?

II. Ci sarà bisogno di resettare tale password nel prossimo futuro?

III. Se il database delle password è sottoposto a hash e compromesso dagli autori degli attacchi, devo cambiare la mia password casuale?

IV. Quale dovrebbe essere la lunghezza della password casuale, in modo che non debba preoccuparsi che si crei, si spezzi, indovini qualunque cosa per 100 anni.

Supponendo di poter ricordare una password casuale lunga 15 lunghezza.

Se devo cambiare la mia password casuale in uno qualsiasi dei casi, allora qual è il punto sull'impostazione della password casuale?

    
posta Curious 17.09.2014 - 12:49
fonte

4 risposte

6

La sicurezza della tua password di 15 caratteri generata a caso dipende molto su come viene memorizzata sul sistema che viene violato.

Se il sistema lo ha memorizzato in cancella testo , la tua password verrebbe rubata in 0 secondi.

Supponendo il caso peggiore che la tua password venga memorizzata come un carattere MD5 che viene sottoposto a con hash una volta sola, senza sale , se esiste una tabella super arcobaleno ( oltre la dimensione di yottabyte?) con la profondità dello spazio di ricerca di 95^15 (hai dimenticato di includere lo spazio), la tua password si sarebbe rotta in poche ore o minuti.

Senza una tabella arcobaleno, l'utente malintenzionato dovrebbe forzare la tua password indovinando una alla volta. Jeff Atwood ha scritto un articolo sulla velocità di hashing che cito qui:

MD5      23070.7 M/s
SHA-1     7973.8 M/s
SHA-256   3110.2 M/s
SHA-512    267.1 M/s

Questo è ciò che una GPU costosa può ottenere due anni fa. Se la legge di Moore continua a prevedere correttamente per i prossimi 100 anni, la velocità di hashing per MD5 con una GPU, se la GPU è ancora lo strumento per gli hash crack, sarà:

Year   MD5 hashing (M/s)
2012   23070 
2014   23070 x 2
2016   23070 x 2 x 2 
...
2114   23070 x 2^51 = 5.2 x 10^19

Lo spazio di ricerca di 95^15 genererà 4.6 x 10^29 di hash possibili. Supponiamo che l'hacker provi ognuno di loro nel 2114, il numero di ipotesi che può fare è:

5.2 x 10^25 x 365.25 days x 24 hours x 3600 seconds = 1.6 x 10^33

Che è più di 4.6 x 10^29 . Pertanto è possibile suddividere la password in MD5 prima della fine del 2114.

La prossima considerazione è quante risorse di calcolo ha il tuo aggressore? Se una GPU non è sufficiente, può ottenere 10 o anche 10.000 di quelle?

Infine, il cracking delle password non è privo di costi. GPU consuma energia. Il tuo attaccante deve pensare, ne vale la pena? Per far funzionare quelle macchine per anni solo per forzare una password quando potrebbero avere semplicemente assumere qualcuno per batterti per ottenerlo a frazione del costo e del tempo è pura stupidità.

In sintesi, la tua password di 15 caratteri generata casualmente è buona per il decennio, ma difficile da dire per il secolo, a condizione che il sistema che memorizza la password utilizzi un hash MD5 o più strong e che tu non abbia rivelato la password tu stesso .

    
risposta data 17.09.2014 - 16:32
fonte
2

i) Nessuna password è mai protetta da TUTTE le minacce. Se lo scrivi e qualcuno ti ruba le note ...

ii) Ci potrebbero essere, per troppi motivi diversi.

iii) Sì, a seconda che le password siano salate o meno, l'hash cracking è abbastanza facile. Senza una parola salt sulla password tutto ciò che devi fare è eseguirlo contro le tabelle arcobaleno.

iv) Di nuovo, questo dipende se le password sono salate per lo stesso motivo di cui sopra.

Come puoi vedere, la forza della tua password è solo una parte di questa equazione. Il modo in cui è memorizzato è un fattore altrettanto importante per la sicurezza.

Per quanto riguarda la discussione su cosa rende una buona password, leggi questa domanda

    
risposta data 17.09.2014 - 13:15
fonte
1

Uso un gestore di password e utilizzo password di lunghezza 22 ( perché 22? ) o comunque a lungo mi lasceranno. (La mia banca consente solo fino a 15, sekeritah yay)

Mi preoccupo quando sento che un sito che utilizzo ha avuto una violazione del data center? No, non mi preoccupo. Questo è il conforto di avere una password davvero strong. Alcuni hacker hanno messo le mani sul mio hash? Sì certo, comunque, buon divertimento.

Riesco ancora a modificare le mie password quando riesco a ricordare. Se alla fine la domanda di fondo è: "Se una password casuale di 15 caratteri mi dà conforto anche se il mio hash è stato rubato?"

Quindi la mia risposta è sì.

    
risposta data 17.09.2014 - 16:00
fonte
-1

@BadSkillz lo ha praticamente detto.

Addendum alla Parte iv: Puoi usare Calcolatore interattivo della Search Force "Password della brute force di GRC stimare quanto tempo ci vorrà perché una password casuale venga violato. Secondo il tuo scenario dovrebbero essere sufficienti da 10 a 12 caratteri in lunghezza.

Ma sii prudente: si basa su un attacco casuale di forza bruta. Se la tua password non è casuale, un attacco di dizionario può essere vantaggioso.

    
risposta data 17.09.2014 - 13:58
fonte

Leggi altre domande sui tag