Kysymys:
Tekevätkö näppäimistön ulkopuoliset merkit salasanastani vähemmän alttiita raakalle pakottamiselle?
jnm2
2011-06-19 03:58:37 UTC
view on stackexchange narkive permalink

Voin lisätä salasanaani merkkejä, joille ei ole näppäimiä. Windowsissa Alt + #### (numeronäppäimistöllä) lisää merkin mihin tahansa kirjoittamaasi koodiin.

Kun laitan tämän salasanaan, takaa se melko paljon, että sitä ei koskaan pakoteta pakottamaan ? En luultavasti ole ensimmäinen ajatellut tätä, mutta olenko oikeassa arvatessani, että hyökkääjät eivät koskaan pidä aikansa arvoisena tarkistaa muiden kuin näppäimistön merkkien? Onko tämä edes jotain, josta he ovat tietoisia?

Jos näin on, yhdellä ei-näppäimistön merkillä jonnekin salasanassasi sinun ei koskaan tarvitse huolehtia muun salasanan pitämisestä vahvana.

Älä unohda, että näppäimistölläsi * olevat * merkkijoukot eivät ole samat kuin ne, jotka minulla on näppäimistöllä ... mikä ei ole sama kuin eurooppalaisilla * näppäimistöllä ... ja britit ovat vieläkin erilaisempia kuin kaikki muut. Silti se on mielenkiintoinen ajatus, varsinkin kun otetaan huomioon, että * on * merkkejä, joita ei ole missään näppäimistössä - on jopa "ei-tulostettavia" merkkejä.
Se on söpö temppu, mutta älä anna sen tehdä itsevarmaksi yleisestä turvallisuudestasi. Onko tilisi ainoa tapa käyttää tietojasi? Onko tietokoneellasi muuta järjestelmänvalvojan tiliä? Kuinka Remote Destop Protocol on suojattu?
@this.josh, mielestäni on selvää, että tämä liittyy vain salasanan vahvuuteen eikä yleiseen turvallisuuteen. Silti se on oikea huomautus, vaikka se pätee useimpiin kysymyksiin täällä ...
@AviD Nykyisissä vastauksissa otetaan huomioon vain sateenkaaritaulukot, joissa todellinen raakaa pakottamista yritetään kaikin mahdollisin tavoin. Muun kuin näppäimistön merkin käyttö ei tarjoa mitään etua todellista raakaa voimaa vastaan. Joten haluaisin vastata ei, mutta mielestäni todellisen raakavoiman hyökkäyksen todennäköisyys verrattuna sateenkaaren pöydän hyökkäyksen todennäköisyyteen on pieni. Joten kompromissini oli sanoa mukava temppu, mutta ole varovainen.
@this.josh: Kysyn vielä, sisältäisikö joku raa'aan voimaansa muun kuin näppäimistön?
@jnm2 - jos olit tavoite, jonka he halusivat, ja he ajattelivat, että käytit muita kuin näppäimistön merkkejä tai jos olet jo käyttänyt muita merkkejä, niin kyllä. Mutta realistisesti - sinun on oltava erittäin toivottava kohde, koska se lisää aikaa paljon :-)
Epäilevätkö he koskaan, että käytän muita kuin näppäimistön merkkejä? Onko kukaan muu?
@jnm2 - he tekevät nyt;)
Niitä on kuitenkin käytettävissä rajoitettu määrä, jos mielestäsi on erittäin huono ajatus "välttää" salasanamerkkejä, ja kertakirjautumissovelluksissa voi olla sääntöjä merkistöalueista. Pidemmät salasanat auttavat, yhdistetyt kirjaimet auttavat. Kaikki melko turhat nyt voimme vuokrata tuhansia ytimiä tunnissa tai minuutissa. Vastaus ei välttämättä ole "matalasti roikkuva hedelmä", vaan se, että löydetään toinen tapa paitsi salasanat.
Turvallinen - ei, vähemmän herkkä - ehdottomasti! Jos olisin hakkeri, en tuhlannut käsittelyvoimaa sellaisten salasanojen murtamiseen, joiden allekirjoituksia todennäköisesti käyttää alle 1% käyttäjistä.
Käytätkö Windowsia? Jos näin on, voin kytkeä käynnissä olevan flash-aseman: pogostick.net/~pnh/ntpasswd/ ja kirjautua sisään ilman, että tarvitsen salasanaa pakottaa. Salaa tietosi erillään Windowsista (älä käytä sisäänrakennettua salausta). Vaihda turvallisempaan käyttöjärjestelmään todellisen turvallisuuden takaamiseksi (ja älä sano, että tarvitsen Windowsia), jos todella tarvitset Windowsia, suorita se VirtualBoxissa tai VMWaressa tai vastaavassa (voit leikata Windowsin kokonaan ja käyttää Viiniä) vain älä kaksoiskäynnistystä ja tuhota vasta löytämäsi turvallisuus.
Yhdeksän vastused:
#1
+29
this.josh
2011-06-20 10:48:52 UTC
view on stackexchange narkive permalink

Kun laitan tämän salasanaan, takaa se melkein, ettei sitä koskaan pakoteta raa'asti?

Raa'an voiman hyökkäys salasanaa vastaan ​​tapahtuu yleensä kahdella tavalla: joko hyökkääjä hankkii hajautetun salasanan tietokannan tai hyökkääjä yrittää kirjautua live-järjestelmään käyttäjätunnuksella (tai muulla tunnuksella) ja salasanalla. Yleinen tapa hajauttaa salasanatietokantoja on käyttää ennalta laskettua arvo- ja hajautusjoukkoa, jota kutsutaan sateenkaaritaulukoksi. Katso Mitä sateenkaaripöydät ovat ja miten niitä käytetään? Sateenkaaripöytä ei ole puhdas raakavoima, koska se käyttää vähemmän kuin mahdollisten syötteiden koko toimialue. Koska todellinen raakavoima käyttää hyökkäystä jokaiseen mahdolliseen syötteeseen riippumatta siitä, onko kyseessä hajautetun salasanatietokannan hyökkäys vai järjestelmän järjestelmän sisäänkirjautuminen, merkkivalikoiman valinnalla tai erilaisten joukkojen yhdistelmällä ei ole merkitystä raakavoiman hyökkäykselle. Käytännössä todelliset raakavoimahyökkäykset ovat harvinaisia. Sateenkaaripöytähyökkäykset ovat yleisempiä, ja harvinaisten sarjojen arvon käyttäminen on tehokas suoja useita sateenkaaripöytähyökkäyksiä vastaan.

olenko oikeassa arvaillessani, että hyökkääjät eivät koskaan pidä aikansa arvoisena tarkistaa muita kuin näppäimistön merkkejä? Onko tämä edes jotain, josta he ovat tietoisia?

Siellä on hyökkääjiä, jotka käyttävät epätavallisia syötesarjoja yrittäessään hyökätä salasanoja, mutta epäilen niiden olevan harvinaisia. Jokainen kohtuullisen hienostunut hyökkääjä on ajatellut asioita, jotka eivät ole näppäimistön merkkejä, ja useimmat tekevät taloudellisen päätöksen noudattaa helpompia kohteita. Kohteissa on paljon heikkoja ja heikkoja salasanoja, joten hyökkääjät suunnittelevat hyökkäyksiä näille heikoille salasanoille. Joten kyllä, monet (mutta eivät kaikki) hyökkääjät eivät pidä vahvoja salasanoja "aikansa arvoisina".

yhdellä ei-näppäimistön merkillä salasanassasi, josta sinun ei koskaan tarvitse huolehtia. pitää loput salasanasta vahvana.

Ei. Voimalla mitataan tai vastustetaan hyökkäyksiä. Jos salasanasi on yksi muu kuin näppäimistön merkki, se on heikompi kuin 33 pientä merkkiä sisältävä salasana. Pituus bitteinä on tärkeä salasanan voimakkuuden mitta. Bittejä merkkien sijaan, koska salauslaskut, kuten hajautus, tehdään bitteinä, ei merkkeinä. Merkistö, kuten muiden kuin näppäimistön merkkien joukko, on vain yksi elementti vahvojen salasanojen luomisessa, se ei ole itsestään vahva.

Lyhyen ytimekkään vastauksen tyylikkyys näkyy tässä, sanoi tj.
Hyvä vastaus. Lisäksi @jnm2-merkkijoukkojen vahvuus kirjoitettu vahvuus vs. pituus (ja bruteforcability). Katso vastaukseni aiheesta [Kuinka luotettava on salasanan vahvuuden tarkistaja]
Entä [~ 200 000] (https://stackoverflow.com/a/3770541/1397555) merkkiä?Tai `/ 1000` [~ 2000]: lle (https://gist.githubusercontent.com/ivandrofly/0fe20773bd712b303f78/raw/9e68c4067c886dc2428820c09fd2e36df16bf69d/Unicode%2520table),` / 2` (keskimääräinen aika voimakkaaseen voimaan)uudelleen (olettakaa muita mielivaltaisia rajoituksia) = 500 merkin tila? 12 merkkiä siinä tilassa on [~ 244 ei miljardia] (http://www.wolframalpha.com/input/?i=500%5E12) permutaatiota.Paljon mahdotonta (olettaen, että merkkijonossa on riittävän satunnainen char-jakauma, kukistaa heuristiikan ja pakottaa raakan voiman)?Tai mitä minulta puuttuu?
Jos se auttaa, olen nähnyt monenlaisia muita kuin näppäimistön merkkejä joissakin suurissa salasanaluetteloissa sekä melkein kaikki muut kuin englanninkieliset salasanaluettelot.Lisäksi [Hashcat-maskihyökkäys] (https://hashcat.net/wiki/doku.php?id=mask_attack) tukee --hex-charset -toimintoa, jolloin kuka tahansa hyökkääjä voi käyttää mitä tahansa heksadesimaalia maskissaan / raakaa voimaa / markov /jne.yrityksiä.
#2
+19
Ori
2011-06-19 05:02:22 UTC
view on stackexchange narkive permalink

Joten koska minun piti tietää, olen luonut NTLM-sateenkaaritaulukon käyttämällä ei-tulostettua merkkiä alt 0160 (ja edustettuna näppäimistöä) 0161-0164. Taulukko tunnisti ei-tulostettavan merkin heksadesimaalina.

enter image description here

Taulukko pystyi tunnistamaan ei-tulostettavan merkin hajauttamisen jälkeen. (Se oli näennäistarkoitus, jossa oli 4 merkin salasana esittelytarkoituksiin)

Se ilmestyy näkemältä:

enter image description here

Joten vaikka se ei olekaan mahdotonta, minulla ei ollut työkalupakissani mitään, joka tunsi tämän. Suurin osa ihmisistä, joilla on sateenkaaripöytiä, ovat joko yhteisön lähteistä tai heillä on erityinen syy niiden luomiseen.

Olen harvoin nähnyt ihmisiä käyttävän näitä merkkejä, mutta on järkevää luoda muutama taulukko, jotka sisällytetään sitoutumisesta riippuen: £ ¥ ¡ja muutama muu välimerkki, jota käytetään vain muissa englannin kielet. Yleisimpien näppäimistöjen etsiminen ympäri maailmaa ja sellaisten merkkien etsiminen, joita ei ole edustettuina Yhdysvalloissa-104: ssä, antaa minulle hyvän alun. Mutta jälleen kerran, tämä taulukko, kun se on tehty, perustuu yhteen asiaan: yleiseen käyttöön. Jos sitä ei tehdä yleisesti, on todennäköisesti helpompaa löytää toinen tapa ohittaa ohjaus.

Jos haluat puhua suoraan ylöspäin tulevaan syötepohjaiseen raakaan voimaan, sama asia pätee. Kuka tahansa, joka sisällyttää sen syötettävään merkistöön, voi tehdä sen. Se ei vain ole normaalia.

Joten sanon kyllä ​​liikenneympyrässä sorta-tavalla, se tekee siitä vähemmän alttiuden raakalle pakottamiselle, vaikkakaan ei mahdotonta.

- Muokkaa -

Joitain reaalilukunäkymiä taulukoiden luomisessa:

NTLM: lle kasattu perusmerkkijoukko sopii 750 Gt: n levyihin I Olen päässyt siihen, jos halusin tehdä uuden: (ylempi + alempi + numero + tulostusmerkit = noin 96 merkkiä)
Luontiaika 9 p 22 h (jos taulukoiden määrä kasvaa liian korkealla)
Ainutlaatuinen ketju laskea 6 094 373 862
Taulukon koko 90,81 GiB (97 509 981 789 tavua)
Kokonaiskoko 726,51 GiB (780 079 854 310 tavua)

Nyt tämä ei ole optimaalinen, mutta vertailun vuoksi samat asetukset (oikeastaan ​​vähän kinder-asetukset 8 taulukkoa 4 sijaan rtc: n kanssa) koko painettuna + ei tulostettu + ei-näppäimistöinen ascii-sarja (191 merkkiä) vastaa (pakattuna)
Generaatioaika 395 vuotta (jos taulukoiden määrä kasvaa liian korkealla)
Ainutlaatuinen ketjumäärä 4823 766 839 375
Taulukon koko 57,03 TiB (62 708 968 911 909 tavua) Kokonaiskoko 14,20 PiB (15 990 787 072 566 688 tavua

Pohjimmiltaan kaksi suuruusluokkaa enemmän, jos käytät koko ASCII-merkkitilaa, ikkunat hyväksyvät salasanana. Minun on odotettava hetki 20 petatavua Seagate ennen kuin aloitat tien tämän pöydän eteen. Ja prosessorien on nopeutettava, jos haluan pöydän loppuvan ennen kuin kahdeksan sukupolveani on elänyt ja kuollut.

Englannin puntaa käytetään ehdottomasti englanniksi, mikä tarkoittaa Englannin punnan, Englannin valuutan, symbolia.
Pitääkö tämä paikkansa myös sellaisten merkkien kohdalla, joilla ei tyypillisesti ole kuvaa _näppäimistöllä, kuten U + 202E (RTL-ohitus) tai U + 1F34C ()?
#3
+16
john
2011-06-19 06:18:50 UTC
view on stackexchange narkive permalink

Hyökkääjän tarvitsee vain laajentaa merkistöä, jota hän käyttää pakottaakseen salasanan, riippumatta siitä, mitä merkkejä siinä on. Sitä suurempi, mikä asettaa enemmän aikaa, jonka hän tarvitsee viettää.

Tavanomainen suositus on, että jos heität pieniä kirjaimia, kirjaimia, numeroita ja symboleja, kaikki ascii-muodossa, käyttämäsi merkistö on riittävän suuri estämään raakaa jarrutusta riittävästi. Jos ylität ascii-sarjan, voit myös tarkastella kreikkalaisia ​​tai venäläisiä merkkejä - ei-tulostettava ja satunnainen unicode-asia on mielestäni hieman liian kaukana.

Voit tehdä sen tietysti, mutta on olemassa vaara: muuten: Kaikki sovellukset ja etenkään sivustot ja tietokannat eivät ole yhteensopivia UTF-koodauksen kanssa tai muut kuin iso-8859-1. Tämä tarkoittaa, että sovellus / sivusto ei ehkä hyväksy salasanaasi tai mikä vielä pahempaa, se hyväksytään, mutta sekaannetaan tietokantaan, jotta et voi tarkistaa sitä. Valitettavasti kaikenlaisia ​​oudoksia voi tapahtua, kun annat ei-ascii-syötteen sovellukselle, joka ei odota sitä, etenkin käyttäjänimen ja salasanan kentissä.

Oikein. Ja sovellus saattaa muuttua ajan myötä - päivittää kirjasto tai tietokanta tai jotain - ja rikkoa salasanasi. Monissa sovelluksissa on jo rajoituksia merkistöihin, ja esim. älä salli '=' ja muita typeriä rajoituksia, jotka viittaavat huonoon ohjelmointiin. Ei ole liian vaikeaa saada salasanaa, joka kestää raakaa voimaa nyt myös tavallisilla tulostettavilla merkeillä, mutta sen on oltava suhteellisen pitkä, kuten täällä muissa kysymyksissä keskustellaan.
#4
+10
Thomas Pornin
2012-11-25 09:45:00 UTC
view on stackexchange narkive permalink

Alt + #### (neljä numeroa) -toiminnon käyttö (hyökkäysten vastustuskyky) vastaa neljän numeron käyttämistä salasanamerkkeinä, juuri siihen kohtaan, johon lisäät "erikoismerkin". Salasanojen numerot eivät ole aivan uusi asia.

"Hyökkääjät eivät koskaan ota sitä huomioon" on kaikkien heikkouksien perusta. Hyökkääjät harkitsevat sitä; he jopa ajattelivat sitä ennen sinua. Jos luotat hyökkääjien tyhmyyteen, voitat vain tyhmät hyökkääjät - ne, jotka ovat joka tapauksessa vähiten vaarallisia.

Käytännön näkökulmasta erikoismerkit tekevät elämästäsi vaikeamman, kun yrität käyttää laitetta, joka ei tarjoa Alt-pohjaista merkintää (esim. salasana verkkosivustolla, jota haluat käyttää älypuhelimella).

#5
+8
Piskvor left the building
2011-06-23 19:44:17 UTC
view on stackexchange narkive permalink

Kuten muissa vastauksissa on sanottu, salasanan vahvuus on sen koko. Voit painaa näppäimiä Alt + 0 + 1 + 6 + 0 saadaksesi harvinaisen merkin, mutta sitten saat vain yhden merkin viidestä näppäimen painalluksesta. Kun tämä on karkea arvio, saatat saada noin 12, ehkä 13 bittiä entropiaa erikoismerkistä; olisit voinut saada enemmän (yli 20), jos käyttäisit näitä viittä näppäintä aakkosnumeerisissa merkeissä.

Lyhyesti sanottuna on hyödyllisempää käyttää 5 näppäimistön merkkiä - saat paljon enemmän rahaa bangille , jos anteeksi sanaleikki.

#6
+2
wbg
2016-01-01 23:20:16 UTC
view on stackexchange narkive permalink

Olettaen vankan UTF-8-tuen (eliminoiden täten muut koodausongelmat), muiden kuin ASCII-salasanojen mahdollinen kuoppa on Unicode-normalisointi.

Ö: n kaltaiset merkit voidaan esittää monin tavoin eli yhtenä ö -merkki tai kahtena koodipisteenä: o+¨

Tietokoneet eivät yleensä pidä näitä tasa-arvoisina, vaikka ne todella ovatkin.

Tämän seurauksena naiivi toteutus, joka ei normalisoi salasanan syöttämistä ennen vahvistusta, ei välttämättä hyväksy salasanaa pässwørd , jos onnistut syöttämään sen eri tavalla normalisoidussa muodossa kuin kun asetat salasanan .

#7
+1
Vladislavs Dovgalecs
2015-06-24 01:37:53 UTC
view on stackexchange narkive permalink

Jos suojaus perustuu vain uskoon / oletukseen, että hyökkääjä ei käytä tekniikkaa X, tämä on melko heikko turvallisuus. On oletettava, että hyökkääjä tietää sen.

Kuten shakissa, tee vahvin liike ikään kuin vastustajasi tuntee aikomuksesi.

#8
+1
Dmitry Grigoryev
2015-06-29 19:58:36 UTC
view on stackexchange narkive permalink

Vaikka salasanassasi käytettävän merkistön laajentaminen tekee siitä vahvemman, se myös vaikeuttaa kirjoittamista eikä tarjoa 100% takuuta hyökkäyksiltä.

Vielä tärkeämpää on, että harvinaisten merkkien käyttö altistaa sinut tilanteissa, joissa tiedät salasanan, mutta et voi käyttää sitä. Kuvittele, ettet voi käyttää palautustyökalua, koska se ei ole yhteensopiva salasanasi kanssa tai et voi tarkistaa postilaatikkosi jonkun muun tietokoneelta tai älypuhelimelta.

#9
  0
Jason
2016-10-31 22:37:18 UTC
view on stackexchange narkive permalink

Yhteenvetona: Sanakirja- / Rainbow-tyyppistä hyökkäystä vastaan ​​ne ovat yleensä erittäin turvallisia, koska yksi kirjoittamaton merkki jättää sinut hyvin pois kaikista yleisistä skeemeistä, mutta todellista raakaa voimahyökkäystä vastaan ​​he voivat olla paljon heikompi kuin käyttää 2-5 muuta näppäilyäsi normaalilla tavalla. Joten optimaalinen strategia on mielestäni niiden yhdistäminen. Tee salasanastasi liian monta merkkiä, jotta todellinen raakavoimahyökkäys havaitsee sen kohtuullisessa ihmisen aikataulussa, ja lisää Alt-% -merkki salasanasi "suosion" pudottamiseksi pidemmälle kuin mitä pidetään arvokkaana koulutettuna arvauksena. Tämä voi tehdä salasanastasi yhtä turvallisen kuin todella satunnaisesti luotu merkkijono, mutta helpompi muistaa. Varmista vain, että käyttämäsi satunnainen merkki ei ole sellainen, jolla todennäköisesti olisi merkitystä missään ohjelmointikielessä tai ulkomaisessa näppäimistöryhmässä, kuten hauskat merkit, jotka ovat todella matalalla alt-taulukossa: ☺, ☻, ♥, ♦, ♣, ♠, ◘, ↕ jne.

* "Varmista vain, että käyttämäsi satunnainen merkki ei ole sellainen, jolla todennäköisesti olisi merkitystä missään ohjelmointikielessä" * Ei ole nykyaikaista teknistä syytä huoleen tästä.
Se riippuu siitä, missä käytät tätä salasanaa.Esimerkiksi tietokannan salasana saattaa toimia, kun kirjoitat sen odotettuun käyttäjäportaaliin, mutta hajoaa, kun myöhemmin päätät siirtää sen yhteysmerkkijonon läpi.
Voitteko selventää * "yhteysmerkkijono" *: n merkitystä?


Tämä Q & A käännettiin automaattisesti englanniksi.Alkuperäinen sisältö on saatavilla stackexchange-palvelussa, jota kiitämme cc by-sa 3.0-lisenssistä, jolla sitä jaetaan.
Loading...