son contraseñas cortas realmente tan inseguro?

Lo de siempre: utilizar una contraseña larga y variada, no utilice la misma contraseña dos veces, utilizar una contraseña diferente para cada sitio. Es el uso de una contraseña corta realmente tan peligroso,? De hoy de preguntas y respuestas sesión nos llega por cortesía de superusuario, una subdivisión de Stack Exchange, una agrupación impulsado por la comunidad de Q & A sitios web.

lector de superusuario user31073 es curioso si realmente debería prestar atención a esas advertencias a corto contraseña

El uso de sistemas como TrueCrypt, cuando tengo que definir una nueva contraseña a menudo se me ha informado que el uso de una contraseña corta es inseguro y “muy fácil” para romper por fuerza bruta.

Siempre utilizo contraseñas de 8 caracteres de longitud, que no se basan en las palabras del diccionario, que consiste en caracteres del conjunto A-Z, a-z, 0-9

Es decir. Yo uso la contraseña como sDvE98f1

¿Es fácil de descifrar una contraseña tal por la fuerza bruta? Es decir. Qué rápido.

Sé que en gran medida depende del hardware, pero tal vez alguien me podría dar una estimación de cuánto tiempo se tardaría en hacer esto en un doble núcleo con 2 GHz o lo que sea para tener un marco de referencia para el hardware.

Para ataques de fuerza bruta esa contraseña es necesario no sólo para pasar por todas las combinaciones sino también tratar de descifrar la contraseña cada adivinado que también necesita un poco de tiempo.

Además, ¿hay algún tipo de software de fuerza bruta TrueCrypt truco porque quiero tratar de romper por fuerza bruta mi propia contraseña para ver cuánto tiempo se necesita si realmente es que “muy fácil”.

Son las contraseñas al azar caracteres cortos realmente en situación de riesgo?

Superusuario colaborador Josh K. destaca lo que necesitaría el atacante

Si el atacante puede obtener acceso al hash de la contraseña a menudo es muy fácil de fuerza bruta, ya que simplemente implica hash contraseñas hasta que el partido de hashes.

El hash “fuerza” depende de cómo se almacena la contraseña. Un hash MD5 puede tardar menos tiempo para generar entonces un hash SHA-512.

Ventanas utilizan para (y pueden aún así, no sé) almacenar contraseñas en un formato de hash LM, que en mayúscula la contraseña, que se dividió en dos trozos 7 de caracteres que luego fueron hash. Si usted tenía una contraseña de 15 caracteres que no importaría, ya que sólo almacena los primeros 14 caracteres, y era fácil de fuerza bruta porque no se fuerza bruta sobre una contraseña de 14 caracteres, que eras ataques de fuerza bruta dos contraseñas 7 caracteres.

Si usted siente la necesidad, descargar un programa como John The Ripper o Cain & Abel (enlaces no reveladas) y probarlo.

Recuerdo ser capaz de generar 200.000 hashes por segundo para un hash LM. Dependiendo de la forma en tiendas Truecrypt el hash, y si puede ser recuperada a partir de un volumen bloqueado, podría tomar más o menos tiempo.

ataques de fuerza bruta se utiliza a menudo cuando el atacante tiene un gran número de hashes que pasar. Después de ejecutar a través de un diccionario común que a menudo se iniciará el deshierbe contraseñas con ataques de fuerza bruta comunes. contraseñas numeradas hasta diez, alfa extendida y numéricos, alfanuméricos y símbolos comunes, alfanuméricos y símbolos extendidos. Dependiendo del objetivo del ataque que puede conducir con diferentes tasas de éxito. El intento de comprometer la seguridad de una cuenta en particular, a menudo no es el objetivo.

Otro colaborador, Phoshi se expande en la idea

Fuerza bruta no es un ataque viable, casi nunca. Si el atacante no sabe nada acerca de su contraseña, que no está recibiendo a través de la fuerza bruta de este lado del 2020. Esto puede cambiar en el futuro, a medida que avanza de hardware (Por ejemplo, se podría utilizar todas embargo muchos-que-ha- ahora núcleos en un i7, masivamente acelerar el proceso (Sin dejar de hablar años, sin embargo))

Si usted quiere estar seguro -super-, pegarse un símbolo prolongado-ascii allí (mantenga la tecla ALT, utilice el teclado numérico para introducir un número superior a 255). Haciendo que prácticamente asegura que la fuerza bruta llano es inútil.

Debería estar preocupado por posibles defectos en el algoritmo de cifrado de truecrypt, lo que podría hacer que la búsqueda de una contraseña mucho más fácil, y por supuesto, la contraseña más compleja en el mundo es inútil si la máquina se está usando en el se ve comprometida.

Nos anotar la respuesta de Phoshi para leer “fuerza bruta no es un ataque viable, cuando se utiliza el cifrado sofisticado generación actual, prácticamente nunca”.

Como hemos destacado en nuestro reciente artículo, ataques de fuerza bruta Explicación: Como toda la encriptación es vulnerable, esquemas de cifrado edad y el aumento de la potencia del hardware así que es sólo cuestión de tiempo antes de lo que solía ser un blanco duro (como el algoritmo de cifrado de la contraseña NTLM de Microsoft) es anulable en cuestión de horas.

Si tiene algo que añadir a la explicación? En off en los comentarios. ¿Quieres leer más respuestas de otros usuarios Stack Exchange conocedores de la tecnología? Echa un vistazo a la rosca discusión completa aquí.

Re ataques de fuerza bruta, contraseñas cortas son más inseguros que los no complejos. La elección de posibles contraseñas, caracteres de largo B, a partir de un número determinado de caracteres A, es una a la potencia de B, es decir AxAxA … B veces, la elección se eleva más fuertemente con aumentos en B, en lugar de A. Por ejemplo , 5 a la potencia de 7 = 78125, 7 a la potencia de 5 = 16807.

recordando anteriores artículos HTG sobre este tema, parecería que la contraseña corta particular, dado sería más seguro que una contraseña larga como my1BigButtShy debido a las técnicas utilizadas por una gran cantidad de técnicas de fuerza bruta. Estas técnicas incluyen: las palabras comunes, mayúscula la primera letra de las palabras comunes, y los números que se pega entre palabras. Tan al azar como ejemplo la contraseña de superusuario era, una más larga sería difícil de recordar, con lo que la contraseña de menos útil. En esto es el equilibrio en este tema.

Creo que las respuestas están más orientados hacia cuentas en línea que específicamente para completamente fuera de línea, tales como TrueCrypt, Keepass, ect., Para algo como TrueCrypt es (como se dijo) completamente fuera de línea que arranque el ordenador y se le pide la contraseña, siempre y cuando se puede introducir una contraseña que hay una cantidad infinita de veces que usted será capaz de fuerza bruta, esto es por qué se requiere una contraseña aleatoria siempre que para cada carácter agregado las contraseñas posibles totales suben exponencialmente.

Si pensamos en algo así como KeePass tiene un solo archivo cifrado Estoy seguro de que será una manera de tener un sistema automatizado tratar cada contraseña posible con el fin de intentar descifrarlo, el mismo Estoy seguro de que se puede decir de un TrueCrypt contenedor, si tuviera más recursos que podía duplicar dichos ficheros y los pusieron de más de un equipo de roer para reducir ligeramente la time.I tiene absolutamente ninguna idea de si existen programas o cualquier cosa con el fin de intentar o la rapidez con que podría funcionar , desde la parte superior de la cabeza del equipo de la nube de Amazon sólo pueden tratar las contraseñas de hasta 8 caracteres es un tiempo razonable (unos días) después de que se termina en años y siglos.

Así que yo diría utilizando un corto aleatorio de 8 caracteres de contraseña no es bueno, pero mayor que debería ser correcto (como en el ladrón que roba el ordenador que sin duda no va a esperar un año para tratar de descifrar el ordenador). Todo esto se basa en que es incluso posible intentar bruta algo como TrueCrypt forma automática y rápida.

Con KeePass puede establecer la forma en que se necesita de muchas rondas de cifrado para desbloquear su base de datos, estableciendo que, para una cantidad más alta impedirá fuerzas brutas aún más ya que tendrá más tiempo para los números de crisis.

El motor de búsqueda Wolfram Alpha se puede utilizar para calcular la fuerza de las contraseñas en términos de cuánto tiempo se tardaría un ataque de fuerza bruta para revelar la contraseña. El sitio es www.wolframalpha.com.

Aquí está el enlace a la herramienta, con la “seguridad de la contraseña” introducido en la ventana de entrada.

También puede introducir “número de días hasta la Navidad”, o “número de días transcurridos desde la muerte de Julio César”, de la “distancia actual de Plutón del sol”. No se requieren comillas.

Vaya, se me olvidó introducir el enlace directo a la seguridad de la contraseña

http://www.wolframalpha.com/input/?i=password+strength

En Wolfram Alpha, introduzca la contraseña de la fuerza tj4T-b_3.5449

El tiempo para calcular la fuerza bruta que uno es 2.813 billones de años en 100.000 contraseñas combinaciones por segundo. Tenga en cuenta que otros métodos distintos a la fuerza de bruce, con la computación masivamente-parralled o especialmente el advenimiento de la computación cuántica, va a cambiar el tiempo de solución.

¡Hurra! Mi pase Gmail es “muy fuerte”!

Una sola caramelo de chocolate M & M contiene la misma cantidad de calorías que una persona promedio quema caminar la longitud de un campo de fútbol entero.