Anda tahu pelatihannya: gunakan kata sandi yang panjang dan beragam, jangan gunakan kata sandi yang sama dua kali, gunakan kata sandi yang berbeda untuk setiap situs. Apakah menggunakan kata sandi pendek benar-benar berbahaya?
Sesi Tanya & Jawab hari ini hadir untuk memberi kami hak milik SuperUser-sub divisi Stack Exchange, pengelompokan situs web Q & A berbasis komunitas.
Pembaca SuperUser user31073 ingin tahu apakah dia benar-benar harus memperhatikan peringatan kata sandi pendek itu:
Menggunakan sistem seperti TrueCrypt, ketika saya harus mendefinisikan kata sandi baru saya sering diberitahu bahwa menggunakan kata sandi pendek tidak aman dan "sangat mudah" untuk dihancurkan dengan kekuatan brute.
Saya selalu menggunakan kata sandi sepanjang 8 karakter, yang tidak didasarkan pada kata-kata kamus, yang terdiri dari karakter dari set A-Z, a-z, 0-9
Yaitu. Saya menggunakan kata sandi seperti sDvE98f1
Seberapa mudahnya memecahkan sandi seperti itu dengan kekerasan? Yaitu. seberapa cepat.
Saya tahu itu sangat tergantung pada perangkat keras tetapi mungkin seseorang bisa memberi saya perkiraan berapa lama waktu yang dibutuhkan untuk melakukan ini pada dual core dengan 2GHZ atau apa pun yang memiliki kerangka acuan untuk perangkat keras.
Untuk serangan brute-force seperti password yang diperlukan tidak hanya untuk menggilir semua kombinasi tetapi juga mencoba untuk mendekripsi dengan setiap kata sandi yang juga membutuhkan beberapa waktu.
Juga, apakah ada perangkat lunak untuk meretas brengsek TrueCrypt karena saya ingin mencoba meretas paksa kata sandi saya sendiri untuk melihat berapa lama waktu yang dibutuhkan jika itu benar-benar "sangat mudah".
Apakah kata sandi karakter acak pendek benar-benar berisiko?
Kontributor SuperUser Josh K. menyoroti apa yang dibutuhkan penyerang:
Jika penyerang dapat memperoleh akses ke hash kata sandi, seringkali sangat mudah untuk melakukan brute force karena hanya memerlukan hashing passwords sampai pertandingan hash.
"Kekuatan" hash tergantung pada bagaimana kata sandi disimpan. Sebuah MD5 hash mungkin memakan waktu lebih sedikit untuk menghasilkan maka SHA-512 hash.
Windows dulu (dan mungkin masih, saya tidak tahu) menyimpan kata sandi dalam format hash LM, yang meningkatkan kata sandi dan membaginya menjadi dua potongan 7 karakter yang kemudian di-hash. Jika Anda memiliki kata sandi 15 karakter, itu tidak masalah karena hanya menyimpan 14 karakter pertama, dan mudah untuk memaksa karena Anda tidak kasar memaksa sandi 14 karakter, Anda kasar memaksa dua password 7 karakter.
Jika Anda merasa perlu, unduh program seperti John The Ripper atau Cain & Abel (tautan yang dirahasiakan) dan ujilah.
Saya ingat mampu menghasilkan 200.000 hash per detik untuk hash LM. Tergantung pada cara Truecrypt menyimpan hash, dan jika dapat diambil dari volume yang dikunci, itu bisa memakan waktu lebih banyak atau lebih sedikit.
Serangan kekerasan brute sering digunakan ketika penyerang memiliki sejumlah besar hash untuk dilewati. Setelah menjalankan kamus umum, mereka akan sering memulai penyadapan password dengan serangan brute force yang umum. Kata sandi bernomor hingga sepuluh, alfa dan numerik, alfanumerik dan simbol umum, lambang alfanumerik dan diperpanjang diperluas. Tergantung pada tujuan dari serangan itu dapat menyebabkan dengan berbagai tingkat keberhasilan. Mencoba berkompromi dengan keamanan satu akun secara khusus sering bukan tujuan.
Kontributor lain, Phoshi memperluas ide:
Brute-Force bukanlah serangan yang layak, cukup banyak. Jika penyerang tidak tahu apa-apa tentang kata sandi Anda, ia tidak mendapatkannya melalui brute-force sisi 2020 ini. Ini dapat berubah di masa depan, karena kemajuan perangkat keras (Sebagai contoh, seseorang dapat menggunakan semua bagaimanapun-banyak-itu-telah- sekarang core pada i7, secara besar-besaran mempercepat proses (Masih berbicara tahun, meskipun))
Jika Anda ingin menjadi -super- secure, tempelkan simbol extended-ascii di sana (Tahan alt, gunakan numpad untuk mengetikkan angka yang lebih besar dari 255). Melakukan hal itu cukup meyakinkan bahwa kekuatan kasar biasa tidak berguna.
Anda harus peduli tentang kelemahan potensial dalam algoritma enkripsi truecrypt, yang bisa membuat menemukan kata sandi jauh lebih mudah, dan tentu saja, kata sandi yang paling rumit di dunia tidak berguna jika mesin yang Anda gunakan itu disusupi.
Kami akan membubuhi keterangan jawaban Phoshi untuk membaca "Brute-force bukanlah serangan yang layak, ketika menggunakan enkripsi generasi sekarang yang canggih, cukup banyak yang pernah".
Seperti yang kami soroti dalam artikel terbaru kami, Serangan Brute-Force Dijelaskan: Bagaimana Semua Enkripsi Terancam, skema enkripsi usia dan peningkatan daya perangkat keras jadi hanya masalah waktu sebelum apa yang dulunya menjadi sasaran sulit (seperti algoritma enkripsi sandi NTLM Microsoft) dapat dikalahkan dalam hitungan jam.
Memiliki sesuatu untuk ditambahkan ke penjelasan? Bicaralah di komentar. Ingin membaca lebih banyak jawaban dari pengguna Stack Exchange yang paham teknologi lainnya? Lihat diskusi lengkap di sini.
