Beranda » bagaimana » Apakah Kata Sandi Pendek Benar-Benar Tidak Aman?

    Apakah Kata Sandi Pendek Benar-Benar Tidak Aman?


    Anda tahu latihan: gunakan kata sandi yang panjang dan bervariasi, jangan gunakan kata sandi yang sama dua kali, gunakan kata sandi yang berbeda untuk setiap situs. Apakah menggunakan kata sandi singkat benar-benar berbahaya?
    Sesi Tanya Jawab hari ini datang kepada kami berkat SuperUser-subdivisi Stack Exchange, pengelompokan situs web Q&A berbasis komunitas.

    Pertanyaan

    SuperUser reader user31073 ingin tahu apakah ia harus benar-benar memperhatikan peringatan kata sandi pendek itu:

    Menggunakan sistem seperti TrueCrypt, ketika saya harus mendefinisikan kata sandi baru, saya sering diberi tahu bahwa menggunakan kata sandi pendek tidak aman dan "sangat mudah" dihancurkan dengan kekerasan..

    Saya selalu menggunakan kata sandi yang panjangnya 8 karakter, yang tidak didasarkan pada kata-kata kamus, yang terdiri dari karakter dari set A-Z, a-z, 0-9

    Yaitu. Saya menggunakan kata sandi seperti sDvE98f1

    Seberapa mudah untuk memecahkan kata sandi seperti itu dengan kekerasan? Yaitu. seberapa cepat.

    Saya tahu itu sangat tergantung pada perangkat keras tetapi mungkin seseorang bisa memberi saya perkiraan berapa lama untuk melakukan ini pada dual core dengan 2GHZ atau apa pun untuk memiliki kerangka acuan untuk perangkat keras.

    Untuk menyerang dengan paksa, kata sandi seperti itu tidak hanya perlu untuk menggilir semua kombinasi tetapi juga mencoba mendekripsi dengan setiap kata sandi yang ditebak yang juga membutuhkan waktu..

    Juga, apakah ada beberapa perangkat lunak untuk brute-force hack TrueCrypt karena saya ingin mencoba brute-force memecahkan kata sandi saya sendiri untuk melihat berapa lama waktu yang diperlukan jika benar-benar “sangat mudah”.

    Kata sandi acak karakter pendek benar-benar berisiko?

    Jawabannya

    Kontributor SuperUser Josh K. menyoroti apa yang dibutuhkan penyerang:

    Jika penyerang dapat memperoleh akses ke hash kata sandi, seringkali sangat mudah untuk memaksa karena ia hanya memerlukan hashing kata sandi sampai hash cocok.

    "Kekuatan" hash tergantung pada bagaimana kata sandi disimpan. Hash MD5 mungkin membutuhkan waktu lebih sedikit untuk menghasilkan kemudian hash SHA-512.

    Windows yang digunakan untuk (dan mungkin masih, saya tidak tahu) menyimpan kata sandi dalam format hash LM, yang menebalkan kata sandi dan membaginya menjadi dua potongan 7 karakter yang kemudian hash. Jika Anda memiliki kata sandi 15 karakter, itu tidak masalah karena hanya menyimpan 14 karakter pertama, dan mudah untuk memaksa karena Anda tidak kasar memaksa kata sandi 14 karakter, Anda kasar memaksa dua kata sandi 7 karakter.

    Jika Anda merasa perlu, unduh program seperti John The Ripper atau Cain & Abel (tautan dirahasiakan) dan ujilah.

    Saya ingat bisa menghasilkan 200.000 hash per detik untuk hash LM. Bergantung pada bagaimana Truecrypt menyimpan hash, dan jika itu dapat diambil dari volume yang dikunci, itu bisa memakan waktu lebih atau kurang.

    Serangan brute force sering digunakan ketika penyerang memiliki banyak hash yang harus dilalui. Setelah menjalankan melalui kamus umum, mereka sering mulai membuang kata sandi dengan serangan brute force biasa. Kata sandi bernomor hingga sepuluh, simbol alfa dan numerik, simbol alfanumerik dan umum, simbol alfanumerik dan simbol diperluas. Tergantung pada tujuan serangan itu dapat menyebabkan dengan berbagai tingkat keberhasilan. Mencoba untuk berkompromi dengan keamanan satu akun pada khususnya seringkali bukan tujuannya.

    Kontributor lain, Phoshi memperluas gagasan:

    Brute-Force bukanlah serangan yang layak, cukup banyak. Jika penyerang tidak tahu apa-apa tentang kata sandi Anda, ia tidak akan melakukannya dengan kasar pada sisi ini pada tahun 2020. Hal ini dapat berubah di masa mendatang, seiring dengan kemajuan perangkat keras (Misalnya, seseorang dapat menggunakan semua yang banyak memiliki-namun-memiliki- sekarang core pada i7, secara besar-besaran mempercepat proses (Masih berbicara tahun, meskipun))

    Jika Anda ingin mengamankan -super, tempelkan simbol extended-ascii di sana (Tahan alt, gunakan numpad untuk mengetikkan angka yang lebih besar dari 255). Melakukan itu cukup meyakinkan bahwa kekuatan kasar tidak berguna.

    Anda harus khawatir tentang kelemahan potensial dalam algoritma enkripsi truecrypt, yang dapat membuat menemukan kata sandi jauh lebih mudah, dan tentu saja, kata sandi paling kompleks di dunia tidak berguna jika mesin yang Anda gunakan itu dikompromikan..

    Kami akan mencatat jawaban Phoshi untuk membaca "Brute-force bukan serangan yang layak, ketika menggunakan enkripsi generasi saat ini yang canggih, cukup banyak".

    Seperti yang kami soroti dalam artikel kami yang terbaru, Serangan Brute-Force Dijelaskan: Bagaimana Semua Enkripsi Rentan, usia skema enkripsi dan daya perangkat keras meningkat sehingga hanya masalah waktu sebelum apa yang dulunya menjadi target keras (seperti algoritma enkripsi kata sandi NTLM Microsoft) bisa dikalahkan dalam hitungan jam.

    Punya sesuatu untuk ditambahkan ke penjelasan? Berbunyi dalam komentar. Ingin membaca lebih banyak jawaban dari pengguna Stack Exchange yang mengerti teknologi lainnya? Lihat utas diskusi lengkap di sini.

    Apakah Ada Manfaat dari Memasukkan Mouse ke Port USB 3.0?
    Apakah Ada Risiko Menggunakan Kabel Y dengan Perangkat Periferal USB?
    Apakah Hadiah ZSilver Gaming dari Razer Layak?
    Artikel selanjutnya
    Apakah Smart Locks Aman?
    Artikel sebelumnya
    Apakah Situs Web Siap Pakai Membunuh Desain Web?