ホームページ » の仕方 » 短いパスワードは本当に安全ではありませんか?

    短いパスワードは本当に安全ではありませんか?


    あなたはドリルを知っています:長くて多様なパスワードを使う、同じパスワードを2回使うのではなく、サイトごとに違うパスワードを使う。短いパスワードを使うのは本当に危険です?
    本日の質疑応答セッションは、コミュニティ主導のQ&A Webサイトのグループである、Stack Exchangeの下位区分であるSuperUserの好意により提供されます。.

    質問

    SuperUser読者user31073は、彼が本当にこれらの短いパスワードの警告に注意すべきかどうかに興味があります。

    TrueCryptのようなシステムを使って、新しいパスワードを定義しなければならないとき、私は短いパスワードを使うことは安全ではなく、総当りで破るのは「非常に簡単」であることをしばしば知らされます.

    私はいつも長さ8文字のパスワードを使いますが、それは辞書の単語に基づいていません。それはセットA-Z、a-z、0-9からの文字から成ります。

    すなわち私はsDvE98f1のようなパスワードを使います

    そのようなパスワードをブルートフォースで解読するのはどれくらい簡単ですか?すなわちどのくらい速いのか.

    私はそれがハードウェアに大きく依存していることを知っていますが、多分誰かが2GHzのデュアルコアでこれをするのにかかるであろうどれくらいの時間かハードウェアのための参照のフレームを持つものなら何でも私に見積もりを与えることができます.

    そのようなパスワードをブルートフォース攻撃するには、すべての組み合わせを巡回するだけでなく、推測された各パスワードを使用して復号化することも必要です。.

    また、TrueCryptを強引にハッキングするソフトウェアがいくつかあります。なぜなら、それが本当に「非常に簡単」であるかどうかを確認するために自分のパスワードを強引に解読したいからです。.

    短いランダム文字のパスワードは本当に危険にさらされていますか?

    答え

    SuperUserの貢献者であるJosh K.は、攻撃者が何を必要としているのかを強調しています。

    攻撃者がパスワードハッシュへのアクセスを取得できる場合、ハッシュが一致するまでパスワードのハッシュを必要とするため、ブルートフォースするのは非常に簡単です。.

    ハッシュの強度は、パスワードの保存方法によって異なります。 MD5ハッシュは、SHA-512ハッシュを生成するのにかかる時間が短くなる可能性があります。.

    Windowsは、パスワードをLMハッシュ形式で保存していましたが(それでもまだわかりません)、パスワードを大文字に変換し、それを2つの7文字の塊に分割してハッシュしました。 15文字のパスワードを持っていても、最初の14文字しか格納されていないので問題にならないでしょう。また、14文字のパスワードをブルートフォースしていなかったのでブルートフォースするのは簡単でした。.

    必要なら、John The RipperやCain&Abelなどのプログラムをダウンロードしてテストしてください。.

    LMハッシュに対して1秒間に200,000のハッシュを生成できることを思い出します。 Truecryptがどのようにハッシュを保存しているか、そしてロックされたボリュームからハッシュを取得できるかどうかによって、多かれ少なかれ時間がかかります.

    総当たり攻撃は、攻撃者が通過するハッシュを多数持っている場合によく使用されます。一般的な辞書を駆け抜けた後、彼らはしばしば一般的なブルートフォース攻撃でパスワードを排除し始めます。最大10の番号付きパスワード、拡張英数字、英数字と共通記号、英数字と拡張記号。攻撃の目的によっては、さまざまな成功率でつながる可能性があります。特に1つのアカウントのセキュリティを侵害しようとすることは、多くの場合目標ではありません。.

    もう1人の寄稿者、Phoshiはこの考えを拡張しています。

    ブルートフォースは実行可能な攻撃ではありません, 今までほとんど。攻撃者があなたのパスワードについて何も知らない場合、彼は2020年のこの面ではブルートフォースでそれを入手していません。ハードウェアが進歩するにつれて、これは将来変更されるかもしれません。現在はi7をコアにして、プロセスを大幅にスピードアップしています(それでも何年も話しています)。

    非常に安全にしたい場合は、そこに拡張ASCII記号を貼り付けてください([Alt]キーを押しながら、255より大きい数値を入力してください)。それをすることは、平凡なブルートフォースが無用であることをほとんど保証します。.

    truecryptの暗号化アルゴリズムには潜在的な欠陥があるため、パスワードを見つけるのがはるかに簡単になります。もちろん、使用しているマシンが危険にさらされている場合、世界で最も複雑なパスワードは役に立ちません。.

    私たちはPhoshiの答えに「ブルートフォースは実行可能な攻撃ではありません。洗練された現在の世代の暗号化を使うとき、ほとんどこれまで」と書いています。.

    最近の記事「ブルートフォース攻撃の説明:すべての暗号化が脆弱であること、暗号化方式が古くなり、ハードウェアの処理能力が上がる」で強調したように、ハードターゲットになるまでは時間の問題です(MicrosoftのNTLMパスワード暗号化アルゴリズムなど)ほんの数時間で倒せる.


    説明に追加するものがありますか?コメントの中で消してください。他の技術に精通したStack Exchangeユーザーからの回答をもっと読みたいですか?こちらのディスカッションスレッドをチェックしてください。.