Teoriyi atlayıp doğruca pratiğe geçmeyi deneyelim.

Aynı kelimeyi iki kez (veya N kez) yazmak önemli ölçüde yardımcı olur mu?

• John the Ripper Jumbo bununla ilgili çeşitli "basit kurallara" sahiptir

  • d kopya: "Fred" -> "FredFred"

  • yansıtır: "Fred" -> "FredderF"

• oclHashcat kurallarına dayalı saldırı bunun için de basit kuralları vardır

  • d dp @ ssW0rd p @ ssW0rdp @ ssW0rd kelimesinin tamamını kopyala

  • pN Çoğaltılmış ekle kelime N kere p2 p @ ssW0rd p @ ssW0rdp @ ssW0rdp @ ssW0rd

  • Yansıtma f Yinelenen kelime tersine çevrilmiş fp @ ssW0rd p @ ssW0rddr0Wss @ p

• Bu nedenle, hayır, bu biraz zekâ o kadar yaygındır ki, halihazırda kendi başına veya diğer kurallarla birlikte kullanılmak üzere her iki ortak kural kümesine de açıkça dahil edilir.

VEYA her karakteri iki kez yazın

• John the Ripper Jumbo belgesinde özellikle bununla ilgili bir örnek var yönlendirme

  • XNMI, NM alt dizesini bellekten çıkarır ve I'deki mevcut kelimeye yerleştirir

  • "<4X011X113X215" (kopya kısa şifreler için durumunuzu tam olarak kapsayacak şekilde dokümantasyondaki örnektir

• oclHashcat kural tabanlı saldırının yalnızca bu tür saldırılar için basit kuralları vardır

  • q Her karakteri çoğaltın qp @ ssW0rd pp @ @ ssssWW00rrdd

  • zN İlk karakteri N kere z2 p @ ssW0rd ppp @ ssW0rd

  • ZN Son karakteri N kere Z2 kopyalar p @ ssW0rd p @ ssW0rddd

  • XNMI I pozisyonunda hafızaya kaydedilen kelimenin N konumundan başlayarak M uzunluğundaki alt dizeyi ekle lMX428 p @ ssW0rd p @ ssw0rdw0

• Bu nedenle, hayır, yine, bu o kadar yaygın bir zeka parçasıdır ki, her iki büyük açık kaynak kod kırma ürününde de açıkça belirtilmiştir.

Büyük ve küçük harf, rakamlar ve bir veya daha fazla özel karakterden oluşan 8 veya 9 karakter olduğunu varsayalım.

Bu ürünlerdeki diğer kurallar büyük olasılıkla halihazırda yaptığınız her şeyi kapsıyor ve aynı zamanda, sahip olduğunuz kombinasyon ne olursa olsun, makul bir kırma kelime listesine zaten uygulanmış bir kural kümesine zaten dahil edilmiş olabilir.

• tek başına oclHashcat, 35.000'den fazla kurala sahip d3ad0ne.rule, 120.000'den fazla kurala sahip dive.rule vb. dahil olmak üzere .kurallarla dolu yirmi beş farklı dosyayla birlikte gelir.

• Çok sayıda kelime listesi mevcuttur ve bunlardan bazıları tam şifrenizi içerebilir - tek başına Openwall kelime listesi, karıştırılmış olanlar da dahil olmak üzere 40 milyondan fazla kelimeden oluşan tek bir 500MB dosyaya sahiptir

• ve şahsen hem küçük, çok iyi kelime listelerinin (phpbb, vb.) hem de kelimenin tam anlamıyla milyarlarca giriş içeren dev, kapsamlı kelime listelerinin farkındayım, toplamda birçok gigabaytlık yer kaplıyor .

Diğer herkeste olduğu gibi, rastgele denemeyi veya ilk 5000'de kelimeleri KULLANMAYAN tüm cümle değerinde kişisel anekdot gibi bir şey kullanmanız gerekir. Yaygın İngilizce kelimelerin listesi ve uzun, yaygın olmayan kelimeler kullanıyor (çok daha büyük sözlükler kullanarak kombinatoryal saldırıları zorlamak için).

Özellikle, içinde bulunan (iyi) rastgele seçilen kelimelere bakın. Örneğin, standart ingilizce ispell sözlüğünde bulunmayan Ubuntu'nun çılgın ingilizce ispell sözlüğü listesi.

Security.StackExchange, "ev yapımı" şifre stratejileri öneren sorularla doludur. Kısa cevap her zaman aynıdır: şifrenizi standart sözlük saldırılarından ayırmak için bir şeyler yapmak iyidir - sürece

1. Stratejinizi gezegendeki çok az kişi kullanıyor . "Ev yapımı" stratejinizin yaygın olduğu ortaya çıkarsa ("a" yı "@" ile değiştirmek gibi) o zaman standart sözlük saldırılarına dahil edilir ve başa dönersiniz.

2. Kişisel olarak hedef alınmıyorsunuz. Saldırganların özellikle hesabınızı kırmaya çalıştığı yüksek değerli bir hedefe sahipseniz, kullandığınız herhangi bir kalıp bir sorumluluktur, çünkü modelinizi öğrendikten sonra (önceki sızıntılardan sızan şifrelerinizden gelen ) daha sonra kalıbınıza göre sözlükler oluşturacaklar.

Bu tür soruların infosec'te olduğu bir başka eğilim de, birinin kaçınılmaz olarak XKCD, işte burada. Bilgisayarların veritabanlarını aramada ve modellere göre listeler oluşturmada iyi olduğunu unutmayın. "Her harfi ikiye katlamak" veya " en sevdiğim şarkının nakaratının baş harfleri" gibi basit bir strateji kullanarak, bilgisayarların tahmin etmesi kolay bir strateji kullanırsınız. Basit bir şifre stratejisi bulmak için en iyi uygulama her zaman: yapma . Sizin için 32 karakterli rastgele bir şifre oluşturmak ve hatırlamak için LastPass gibi bir şifre yöneticisi kullanın. Ezberleyebileceğiniz bir şeye sahip olmakta ısrar ediyorsanız, sonraki en iyi uygulama tedbirdir.

Tüm en iyi uygulamalara meydan okumak ve kendi planınızı icat etmek istiyorsanız, modele dayalı bir şey yerine duyguya dayalı bir şey veya kişisel bilgilerinizden çıkarılabilecek bir şey tavsiye ederim. Örneğin, "sevdiğim web sitelerine" veya "izlediğim TV şovlarına" dayalı bir şifreyi İnternet etkinliğinize erişimi olan herkes için tahmin etmek kolay olacaktır, ancak "bana ______ hatırlatan şeyler" için çok farklı bir ______ seçtiğinizde her parolanın tahmin edilmesi zor olabilir. (Bu şema hakkında biraz daha uzun süre düşünseydim, muhtemelen bunun bile tahmin etmek için yeterince kolay olduğunu iddia edebilirdim, ancak asıl mesele, yine de tamamen kalıp tabanlı bir şeyden daha iyi olmasıdır.)

Genel olarak hayır, parolayı iki katına çıkarmak, güvenliğinizi önemli ölçüde artırmaz (veya azaltmaz). İki katına çıkardığı şey, yazma çabanızdır. Parolanızı ikiye katlamak, sizi daha kısa / daha kolay bir temel parola seçmeye teşvik ederse güvenliğinizi azaltabilir , böylece yazma çabanız çok zahmetli olmaz.

Geniş anlamda, şifre güvenliği gelir rastgeleliğinden, yani saldırganın ne kadarını bilmediğinden. "İkiye katlama" durumunda, bu tek bitlik bir bilgidir (yani, uygulayıp uygulamadığınız), yani matematiksel olarak konuşursak, fazladan bir entropi bitidir. Bu fazla değil. Tek bir entropi biti elde etmek için fazladan sekiz karakter yazmak yetersizdir; bu iyi bir pazarlık değil.

Tüm esprili numaralar aynı temel sorunu paylaşır: esprilerdir. Saldırganın aptal, beceriksiz veya arkaik olduğuna güvenirler. Gerçekten aptal, beceriksiz ve arkaik olan saldırganlar dışında bu pratikte geçerli değildir - tanrılar onların çoğunun olduğunu bilir, ancak büyük bir sorun değildir çünkü şifrenizle ne yapacaklarını bilemezler. Endişelenmeniz gereken saldırganlar, kısa sürede dijital varlıklarınıza önemli zararlar verebilecek zeki kişilerdir; Bu akıllı saldırganlar, şifrenizi ikiye katlama numaranızdan pek de caydırmayacak.

Bir şifreyi neyin "güçlü" kıldığı hakkında bilgi almak için bu ünlü soruyu okuyun, özellikle bu cevapta entropi matematiği.

Şifre kırıcım zaten harfleri ikiye katlamayı, sözcükleri ikiye katlamayı, sözcükleri ters çevirmeyi ve ikiye katlamayı, büyük / küçük harf çevirmeyi ve ikiye katlamayı deniyor ...

... ve daha pek çok şey.

Evet. İkiye katlama zorluğa bazılarını ekler: en fazla dört bit değerinde. Harf değiştirmeli ham bir sözlük saldırısından kırılmam on altı kat daha uzun sürerdi.

Ama sonunda BAdpA55 elde ederim !! 22AqbA8.

İnsanlar şaşırtıcı derecede öngörülebilir yaratıklardır. Düşünme şeklimiz inanmak istediğimiz kadar benzersiz değil. Muhtemelen, şifrenizi daha güvenli hale getirmek için aklınıza gelebilecek her türlü akıllıca şey, başka pek çok kişi tarafından düşünülmüştür ve bilgisayar korsanları, tüm bu akıllıca hilelerin farkındadır.

Tek yol bir parolayı uygun şekilde güvenli hale getirmek, parolayı uzun ve rastgele yapmaktır. Denklemden insan yanılabilirliğini kaldırın. Bir şifre ezberleyemeyeceğiniz kadar karmaşıksa, yeterince güvenli olabilir.

Şifre yöneticileri son derece faydalıdır. Kullandığınız her şifreyi benzersiz ve her şifreyi tamamen rastgele oluşturmanıza olanak tanırlar.

Belli ki şifre yöneticisi veri tabanınızın güvenli olduğundan ve uzaktan erişilemeyeceğinden emin olmanız gerekir.

Pek çok etken vardır, ancak sonuçta ne tür bir şifre kırılmasına karşı koruma sağlamaya çalıştığınıza göre değişir. Bir kaba kuvvet saldırısına karşı, parolanın uzunluğunu artırmak, kırılmasını zorlaştıracaktır. Karma işlemlerinin korkunç olmadığını varsayarsak, 8 veya 9 karakterlik düzgün bir şifre, kaba kuvvetle kırmak için zaten çok zor veya imkansız olmalıdır. Bu, her karakteri iki kez yazarak veya aynı şifreyi iki kez yazarak ikiye katlamak anlamına gelir.

Şifreniz bir kaba kuvvet saldırısına karşı güvenli olacak kadar uzun olduğunda, endişelenmeye başlamalısınız. sözlük saldırıları, kombinasyon saldırıları ve bunun gibi diğer şeyler. Önerdiğiniz şeylerden herhangi biri, kural tabanlı bir saldırıya dahil edilmesi kolay olacaktır ve bundan kaynaklanan ek güvenlikteki herhangi bir değer, bunun yaygın olarak yapılmamasına ve kurallarına dahil edilmemesine bağlıdır.

zxcvbn şifre entropi demosuna bağlantı.

zxcvbn'ye göre, başlangıç ​​şifrenizin istatistikleri:

Normal: PwdThing

  Tahminler: 100 / saat: 5 ay (kısıtlanmış çevrimiçi saldırı) 10 / saniye: 58 dakika (engellenmemiş çevrimiçi saldırı) 10k / saniye: 35 saniye (çevrimdışı saldırı, yavaş hash, birçok çekirdek) 10B / saniye: a'dan az saniye (çevrimdışı saldırı, hızlı hash, birçok çekirdek)  

İki katına çıktı: PwdThingPwdThing

  tahmin süreleri: 100 / saat: 9 ay (azaltılmış çevrimiçi saldırı) 10 / saniye: 2 saat (engellenmemiş çevrimiçi saldırı) 10k / saniye: 1 dakika (çevrimdışı saldırı, yavaş hash, birçok çekirdek) 10B / saniye: bir saniyeden az (çevrimdışı saldırı, hızlı hash, birçok çekirdek  

Mektup İki Katına Çıktı: PPwwddTThhiinngg

  tahmin süreleri: 100 / saat: yüzyıllar (kısıtlanmış çevrimiçi saldırı) 10 / saniye: yüzyıllar (kısıtlanmamış çevrimiçi saldırı) 10k / saniye: yüzyıllar (çevrimdışı saldırı yavaş karma, birçok çekirdek) 10B / saniye: 12 günler (çevrimdışı saldırı, hızlı hash, birçok çekirdek)  

zxcvbn mükemmel olmayabilir, ancak bunun size şifrenizin gücüne ilişkin oldukça iyi bir tahmin hakkı verdiğini düşünüyorum. Yüksek reytingli güzel ve akılda kalıcı bir şifre elde etmek için onunla oynayın.

Cümlelerin şifre olarak kullanılmasını tercih ederim. Uzunlar ve doğaları gereği tahmin etmeleri ve hatırlamaları kolay.

EX: "Pazartesi günleri en sevdiğim ikinci meyve mango!" (izin verilen yerlerde boşluklar dahil edilmiştir)

NSA'nın şifrenizi zorlaması konusunda endişeleriniz varsa ... Oluşturulan şifreleri herkesin bahsettiği şekilde giderdim.

Bir şifreyi iki şey daha güvenli kılar: Uzunluk ve rastgelelik. Dolayısıyla, sorunuzun cevabı kesinlikle Evet , şifrenizin güvenliğini artırıyorsunuz.

Ancak genel olarak, ilk şifreniz süper değil bir sözlükte bulunabilecek kelimeleri kullandığı için güvenlidir. Ve ikiye katlama, bir kırma algoritmasının da kolayca yapabileceği tekrar eden bir modeldir. Bu nedenle, şifrenizi ikiye katlamakla kalmayın, ikiye katladığınız kelimelerin gerçek kelimeler olmadığından emin olun.

Bir şifreye uzunluk eklemek, şifrenin güvenliğini önemli ölçüde artırır, bu yüzden şifrenizi iki kez yazmanın veya her karakteri ikiye katlamanın, bunu yapmamaktan ve 8 veya 9 karakterden daha kısa bir şifre kullanmaktan daha iyi olduğunu düşünüyorum. Şifre uzunluğunun artırılmasının güvenliğini nasıl önemli ölçüde artırdığı hakkında daha fazla bilgi edinmek için bu bağlantıya bakın: https://www.grc.com/haystack.htm

Şifrenin uzunluğu her zaman şifre güvenliğinde önemli bir faktördür, ancak içeriği de iyileştirmeye çalışın, şifrenin iki katına çıkarılması HYDRA / Sözlük saldırıları uygulamasına karşı yardımcı olabilir

@SethWhite - en doğru cevabı verdiğinize inanıyor.

Çoğu kullanıcı bir şifreyi kırmak için kullanılan yolları ve yöntemleri anlamıyor. Ayrıca bilinmeyen http / ftp arayanlar için bağlantı noktası engelleme gibi ek güvenlik önlemleri de vardır. Daha bilgili biri açıklamalı.

Seth, bir şifreyi zor yoldan kırmanın dört farklı yolu olduğunu gösteriyor. En kolay yol, kimlik avı yapmak, klavyenin altına bakmak, monitördeki yapışkan notlara kağıt parçası vb. Bakmaktır.

Şifreler, verilerinizi saldırılara karşı koruyan şeyin yalnızca bir parçasıdır. Parolanız (anahtar kelime öbeği), yalnızca parolanız ve onu kodlayan yazılım algoritması ile kodu çözülebilen rastgele uzun bir ikili (makine kodu) dizisi oluşturmak için kullanılır. Bu nedenle, bu ikili diziyi (HASH) temel verilerde (bir oturum açma sayfasının kullandığı kod çözücü yazılımını kullanmadan) tahmin etmeye çalışan herkes, tüm baytları rastgele tahmin edene kadar ilk bayttan başlayarak rasgele denemek zorunda kalacaktır. Seth'in Brute force olarak gösterdiği şey budur ve 64.128.256.512 bayt HASH uzunluğu için çok fazla zamana ve çok sayıda çekirdeğe ihtiyacınız vardır. Hacklenme süresi, uzunluk arttıkça katlanarak artar. HASH uzunluğu şifre boyutuna bağlıdır, bu nedenle daha uzun şifre daha uzun HASH daha uzun kaba kuvvet süresi.

Wikileaks'ın kodu kırmasının aylar sürdüğüne inanıyorum ancak çoğu HASH kırılabilir. Veri servis merkezi saldırılarının, bilgisayar korsanının parolaları tahmin etmek için oturum açma kod çözme yazılımını kullandığı sözlük saldırıları olduğunu düşünürdüm. Bu nedenle sözlük saldırıları genellikle verilerinizin bulunduğu sisteme bir tür erişime sahiptir, yalnızca veriler üzerinde değil.

Ön örnek olarak, kısılmış çevrimiçi saldırının muhtemelen saldırıya uğramış bir çerez tarafından desteklenen bir http bağlantısını seçtiğini anlıyorum (web sunucuları tarafından yüklenen küçük, genellikle yararlı bir program) "Sözlük sisteminize saldırır".

Sonuç: uzun rastgele şifreler ("PPwwddTThhiinngg" sayılır) her iki tür saldırıyı da durdurmaya büyük ölçüde yardımcı olur. Parola uzunluğu ve karmaşıklığı, sözlük saldırılarına yönelik tehlikeyi ve depolanan bilgilere duyarlılığı yansıtmalıdır.

Not: Ailem benden nefret ediyor çünkü kablosuz ev ağımız 128 baytlık rastgele bir anahtar kelime öbeğiyle korunuyor.