Kun laitan tämän salasanaan, takaa se melkein, ettei sitä koskaan pakoteta raa'asti?

Raa'an voiman hyökkäys salasanaa vastaan ​​tapahtuu yleensä kahdella tavalla: joko hyökkääjä hankkii hajautetun salasanan tietokannan tai hyökkääjä yrittää kirjautua live-järjestelmään käyttäjätunnuksella (tai muulla tunnuksella) ja salasanalla. Yleinen tapa hajauttaa salasanatietokantoja on käyttää ennalta laskettua arvo- ja hajautusjoukkoa, jota kutsutaan sateenkaaritaulukoksi. Katso Mitä sateenkaaripöydät ovat ja miten niitä käytetään? Sateenkaaripöytä ei ole puhdas raakavoima, koska se käyttää vähemmän kuin mahdollisten syötteiden koko toimialue. Koska todellinen raakavoima käyttää hyökkäystä jokaiseen mahdolliseen syötteeseen riippumatta siitä, onko kyseessä hajautetun salasanatietokannan hyökkäys vai järjestelmän järjestelmän sisäänkirjautuminen, merkkivalikoiman valinnalla tai erilaisten joukkojen yhdistelmällä ei ole merkitystä raakavoiman hyökkäykselle. Käytännössä todelliset raakavoimahyökkäykset ovat harvinaisia. Sateenkaaripöytähyökkäykset ovat yleisempiä, ja harvinaisten sarjojen arvon käyttäminen on tehokas suoja useita sateenkaaripöytähyökkäyksiä vastaan.

olenko oikeassa arvaillessani, että hyökkääjät eivät koskaan pidä aikansa arvoisena tarkistaa muita kuin näppäimistön merkkejä? Onko tämä edes jotain, josta he ovat tietoisia?

Siellä on hyökkääjiä, jotka käyttävät epätavallisia syötesarjoja yrittäessään hyökätä salasanoja, mutta epäilen niiden olevan harvinaisia. Jokainen kohtuullisen hienostunut hyökkääjä on ajatellut asioita, jotka eivät ole näppäimistön merkkejä, ja useimmat tekevät taloudellisen päätöksen noudattaa helpompia kohteita. Kohteissa on paljon heikkoja ja heikkoja salasanoja, joten hyökkääjät suunnittelevat hyökkäyksiä näille heikoille salasanoille. Joten kyllä, monet (mutta eivät kaikki) hyökkääjät eivät pidä vahvoja salasanoja "aikansa arvoisina".

yhdellä ei-näppäimistön merkillä salasanassasi, josta sinun ei koskaan tarvitse huolehtia. pitää loput salasanasta vahvana.

Ei. Voimalla mitataan tai vastustetaan hyökkäyksiä. Jos salasanasi on yksi muu kuin näppäimistön merkki, se on heikompi kuin 33 pientä merkkiä sisältävä salasana. Pituus bitteinä on tärkeä salasanan voimakkuuden mitta. Bittejä merkkien sijaan, koska salauslaskut, kuten hajautus, tehdään bitteinä, ei merkkeinä. Merkistö, kuten muiden kuin näppäimistön merkkien joukko, on vain yksi elementti vahvojen salasanojen luomisessa, se ei ole itsestään vahva.

Joten koska minun piti tietää, olen luonut NTLM-sateenkaaritaulukon käyttämällä ei-tulostettua merkkiä alt 0160 (ja edustettuna näppäimistöä) 0161-0164. Taulukko tunnisti ei-tulostettavan merkin heksadesimaalina.

Taulukko pystyi tunnistamaan ei-tulostettavan merkin hajauttamisen jälkeen. (Se oli näennäistarkoitus, jossa oli 4 merkin salasana esittelytarkoituksiin)

Se ilmestyy näkemältä:

Joten vaikka se ei olekaan mahdotonta, minulla ei ollut työkalupakissani mitään, joka tunsi tämän. Suurin osa ihmisistä, joilla on sateenkaaripöytiä, ovat joko yhteisön lähteistä tai heillä on erityinen syy niiden luomiseen.

Olen harvoin nähnyt ihmisiä käyttävän näitä merkkejä, mutta on järkevää luoda muutama taulukko, jotka sisällytetään sitoutumisesta riippuen: £ ¥ ¡ja muutama muu välimerkki, jota käytetään vain muissa englannin kielet. Yleisimpien näppäimistöjen etsiminen ympäri maailmaa ja sellaisten merkkien etsiminen, joita ei ole edustettuina Yhdysvalloissa-104: ssä, antaa minulle hyvän alun. Mutta jälleen kerran, tämä taulukko, kun se on tehty, perustuu yhteen asiaan: yleiseen käyttöön. Jos sitä ei tehdä yleisesti, on todennäköisesti helpompaa löytää toinen tapa ohittaa ohjaus.

Jos haluat puhua suoraan ylöspäin tulevaan syötepohjaiseen raakaan voimaan, sama asia pätee. Kuka tahansa, joka sisällyttää sen syötettävään merkistöön, voi tehdä sen. Se ei vain ole normaalia.

Joten sanon kyllä ​​liikenneympyrässä sorta-tavalla, se tekee siitä vähemmän alttiuden raakalle pakottamiselle, vaikkakaan ei mahdotonta.

- Muokkaa -

Joitain reaalilukunäkymiä taulukoiden luomisessa:

NTLM: lle kasattu perusmerkkijoukko sopii 750 Gt: n levyihin I Olen päässyt siihen, jos halusin tehdä uuden: (ylempi + alempi + numero + tulostusmerkit = noin 96 merkkiä)
Luontiaika 9 p 22 h (jos taulukoiden määrä kasvaa liian korkealla)
Ainutlaatuinen ketju laskea 6 094 373 862
Taulukon koko 90,81 GiB (97 509 981 789 tavua)
Kokonaiskoko 726,51 GiB (780 079 854 310 tavua)

Nyt tämä ei ole optimaalinen, mutta vertailun vuoksi samat asetukset (oikeastaan ​​vähän kinder-asetukset 8 taulukkoa 4 sijaan rtc: n kanssa) koko painettuna + ei tulostettu + ei-näppäimistöinen ascii-sarja (191 merkkiä) vastaa (pakattuna)
Generaatioaika 395 vuotta (jos taulukoiden määrä kasvaa liian korkealla)
Ainutlaatuinen ketjumäärä 4823 766 839 375
Taulukon koko 57,03 TiB (62 708 968 911 909 tavua) Kokonaiskoko 14,20 PiB (15 990 787 072 566 688 tavua

Pohjimmiltaan kaksi suuruusluokkaa enemmän, jos käytät koko ASCII-merkkitilaa, ikkunat hyväksyvät salasanana. Minun on odotettava hetki 20 petatavua Seagate ennen kuin aloitat tien tämän pöydän eteen. Ja prosessorien on nopeutettava, jos haluan pöydän loppuvan ennen kuin kahdeksan sukupolveani on elänyt ja kuollut.

Hyökkääjän tarvitsee vain laajentaa merkistöä, jota hän käyttää pakottaakseen salasanan, riippumatta siitä, mitä merkkejä siinä on. Sitä suurempi, mikä asettaa enemmän aikaa, jonka hän tarvitsee viettää.

Tavanomainen suositus on, että jos heität pieniä kirjaimia, kirjaimia, numeroita ja symboleja, kaikki ascii-muodossa, käyttämäsi merkistö on riittävän suuri estämään raakaa jarrutusta riittävästi. Jos ylität ascii-sarjan, voit myös tarkastella kreikkalaisia ​​tai venäläisiä merkkejä - ei-tulostettava ja satunnainen unicode-asia on mielestäni hieman liian kaukana.

Voit tehdä sen tietysti, mutta on olemassa vaara: muuten: Kaikki sovellukset ja etenkään sivustot ja tietokannat eivät ole yhteensopivia UTF-koodauksen kanssa tai muut kuin iso-8859-1. Tämä tarkoittaa, että sovellus / sivusto ei ehkä hyväksy salasanaasi tai mikä vielä pahempaa, se hyväksytään, mutta sekaannetaan tietokantaan, jotta et voi tarkistaa sitä. Valitettavasti kaikenlaisia ​​oudoksia voi tapahtua, kun annat ei-ascii-syötteen sovellukselle, joka ei odota sitä, etenkin käyttäjänimen ja salasanan kentissä.

Alt + #### (neljä numeroa) -toiminnon käyttö (hyökkäysten vastustuskyky) vastaa neljän numeron käyttämistä salasanamerkkeinä, juuri siihen kohtaan, johon lisäät "erikoismerkin". Salasanojen numerot eivät ole aivan uusi asia.

"Hyökkääjät eivät koskaan ota sitä huomioon" on kaikkien heikkouksien perusta. Hyökkääjät harkitsevat sitä; he jopa ajattelivat sitä ennen sinua. Jos luotat hyökkääjien tyhmyyteen, voitat vain tyhmät hyökkääjät - ne, jotka ovat joka tapauksessa vähiten vaarallisia.

Käytännön näkökulmasta erikoismerkit tekevät elämästäsi vaikeamman, kun yrität käyttää laitetta, joka ei tarjoa Alt-pohjaista merkintää (esim. salasana verkkosivustolla, jota haluat käyttää älypuhelimella).

Kuten muissa vastauksissa on sanottu, salasanan vahvuus on sen koko. Voit painaa näppäimiä Alt + 0 + 1 + 6 + 0 saadaksesi harvinaisen merkin, mutta sitten saat vain yhden merkin viidestä näppäimen painalluksesta. Kun tämä on karkea arvio, saatat saada noin 12, ehkä 13 bittiä entropiaa erikoismerkistä; olisit voinut saada enemmän (yli 20), jos käyttäisit näitä viittä näppäintä aakkosnumeerisissa merkeissä.

Lyhyesti sanottuna on hyödyllisempää käyttää 5 näppäimistön merkkiä - saat paljon enemmän rahaa bangille , jos anteeksi sanaleikki.

Olettaen vankan UTF-8-tuen (eliminoiden täten muut koodausongelmat), muiden kuin ASCII-salasanojen mahdollinen kuoppa on Unicode-normalisointi.

Ö: n kaltaiset merkit voidaan esittää monin tavoin eli yhtenä ö -merkki tai kahtena koodipisteenä: o+¨

Tietokoneet eivät yleensä pidä näitä tasa-arvoisina, vaikka ne todella ovatkin.

Tämän seurauksena naiivi toteutus, joka ei normalisoi salasanan syöttämistä ennen vahvistusta, ei välttämättä hyväksy salasanaa pässwørd , jos onnistut syöttämään sen eri tavalla normalisoidussa muodossa kuin kun asetat salasanan .

Jos suojaus perustuu vain uskoon / oletukseen, että hyökkääjä ei käytä tekniikkaa X, tämä on melko heikko turvallisuus. On oletettava, että hyökkääjä tietää sen.

Kuten shakissa, tee vahvin liike ikään kuin vastustajasi tuntee aikomuksesi.

Vaikka salasanassasi käytettävän merkistön laajentaminen tekee siitä vahvemman, se myös vaikeuttaa kirjoittamista eikä tarjoa 100% takuuta hyökkäyksiltä.

Vielä tärkeämpää on, että harvinaisten merkkien käyttö altistaa sinut tilanteissa, joissa tiedät salasanan, mutta et voi käyttää sitä. Kuvittele, ettet voi käyttää palautustyökalua, koska se ei ole yhteensopiva salasanasi kanssa tai et voi tarkistaa postilaatikkosi jonkun muun tietokoneelta tai älypuhelimelta.

Yhteenvetona: Sanakirja- / Rainbow-tyyppistä hyökkäystä vastaan ​​ne ovat yleensä erittäin turvallisia, koska yksi kirjoittamaton merkki jättää sinut hyvin pois kaikista yleisistä skeemeistä, mutta todellista raakaa voimahyökkäystä vastaan ​​he voivat olla paljon heikompi kuin käyttää 2-5 muuta näppäilyäsi normaalilla tavalla. Joten optimaalinen strategia on mielestäni niiden yhdistäminen. Tee salasanastasi liian monta merkkiä, jotta todellinen raakavoimahyökkäys havaitsee sen kohtuullisessa ihmisen aikataulussa, ja lisää Alt-% -merkki salasanasi "suosion" pudottamiseksi pidemmälle kuin mitä pidetään arvokkaana koulutettuna arvauksena. Tämä voi tehdä salasanastasi yhtä turvallisen kuin todella satunnaisesti luotu merkkijono, mutta helpompi muistaa. Varmista vain, että käyttämäsi satunnainen merkki ei ole sellainen, jolla todennäköisesti olisi merkitystä missään ohjelmointikielessä tai ulkomaisessa näppäimistöryhmässä, kuten hauskat merkit, jotka ovat todella matalalla alt-taulukossa: ☺, ☻, ♥, ♦, ♣, ♠, ◘, ↕ jne.