¿Es posible usar la fuerza bruta de todas las contraseñas de 8 caracteres en un ataque sin conexión?

Según este link , con una velocidad de 1,000,000,000 de Contraseñas por segundo, descifrar una contraseña de 8 caracteres compuesta por 96 caracteres lleva 83.5 días. Research presentado en La contraseña ^ 12 en Noruega muestra que las contraseñas NTLM de 8 caracteres ya no son seguras. Se pueden romper en 6 horas en la máquina, lo que cuesta ~ $ 8000 en 2012.

Una cosa importante a considerar es qué algoritmo se usa para crear estos hash (suponiendo que esté hablando de contraseñas con hash). Si se usa algún algoritmo de computación intensiva, entonces la tasa de descifrado de contraseñas se puede reducir significativamente. En el enlace anterior, el autor destaca que "el nuevo clúster, incluso con su aumento de velocidad de cuatro veces, puede hacer solo 71,000 intentos contra Bcrypt y 364,000 intentos contra SHA512crypt".

Vi que esto no está actualizado a 2018.

Hashcat rompe un 8 la contraseña de cobertura completa (a-zA-Z0-9! - =) en 26 días en una sola GPU de 1080 Nvidia.

AquíhayunafotodeunaplataformademineríaconGPUquetambiénpodríanconfigurarseparaelhashcracking:

¿Posible? Sí, pero ¿qué duración de recuperación de fuerza bruta se acepta como posible? Algunos números para 8 caracteres PW si se seleccionan al azar de un conjunto de 94 caracteres:

• Windows PW (NTLM: 1), utilizando el monstruo de recuperación de GPU 25 mencionado anteriormente: 2,2 horas en promedio
• WiFi (PBKDF2 / SHA1: 4096) usando un sistema de recuperación de 8 GPU: 98 años en promedio
• 7ZIP (PBKDF2 / SHA256: 262144) usando un sistema de recuperación de 8 GPU: 26 siglos

Por lo que es 'posible' para ciertos casos para nosotros, puede ser sí en todos los casos anteriores para algunas agencias.

Suponga que su conjunto de hashes 'obtenidos' contenía 5 millones de hashes de contraseña, entonces, incluso para el caso de WiFi de 98 años, se encontrarán 145 claves el día 1 (en promedio). Si su contraseña está entre ellos, entonces, ¡también es posible para el caso de WiFi! .... si mis cálculos son correctos

Sé de una demostración modesta (febrero de 2012, enlace ) que reclamaba el poder de realizar 400 mil millones de conjeturas por segundo en un sistema de 25 GPU. En ese caso, una contraseña de 8 dígitos se soplaría en menos de 6 horas; Antes dependiendo del método de fuerza bruta. Pero eso supone que el atacante tiene acceso al archivo que almacena la contraseña cifrada. Y, francamente, eso es fácil de hacer, si tiene acceso a la computadora en sí. Incluso si no puedes acceder al disco duro, el atacante simplemente reemplazará el teclado con una computadora que enviaría "pulsaciones de teclado" mucho más rápido de lo que podrías escribir. Puede tomar más tiempo, debido a la velocidad de la conexión USB, pero la tasa de escritura humana no es una buena referencia en este asunto.

Como una nota al margen .....

En el tema de los caracteres utilizados en una contraseña, esto no es tan simple como la mayoría de las personas dicen. Lo que más importa es lo que el atacante espera tener que probar, no los personajes que elijas. En otras palabras, lo que más importa es qué utilizan TODOS los personajes del sistema, no solo usted. Por ejemplo, una secuencia aleatoria de 'X', 'Y' y 'Z' es tan difícil de adivinar como una secuencia aleatoria de todas las letras del alfabeto ... siempre y cuando los atacantes no sepan que prefieres X, Y, y Z. Pero si, a pesar de la disponibilidad de 100 dígitos, el atacante sabe que todos están usando solo X, Y y Z, entonces el atacante puede reducir el ataque de fuerza bruta y anular el beneficio de 100 dígitos. sistema de seguridad. El principal de esto es idéntico al del ataque del diccionario. Esta es la razón por la cual los administradores de sistemas pueden forzar a todos a usar diferentes tipos de caracteres; para asegurarse de que un intruso tiene que probar todas las permutaciones.

Esto no quiere decir que los caracteres específicos utilizados en una contraseña no afecten la velocidad a la que se rompe. Es decir, cuando alguien dice que "las contraseñas de 8 dígitos toman un descanso de 10 años", ese tiempo máximo es de 10 años. Una declaración más precisa sería: "se necesitan 10 años para probar todas las combinaciones de contraseñas de 8 dígitos". Pero el hecho es que algunas contraseñas se adivinarían mucho más rápido dependiendo de la selección de personajes y el método de ataque. Por ejemplo, si su contraseña es un sistema alfanumérico de 100 caracteres (por ejemplo, 0-9 ...... AZ), y el ataque de fuerza bruta usa suposiciones secuenciales, entonces una contraseña que comience con un '0' se romperá al menos 100x más rápido que una contraseña que comienza con el último carácter en esa secuencia (llamémosla 'Z'). Pero esto es difícil de manejar ya que nunca se puede saber qué orden puede usar el atacante. Por ejemplo, ¿el atacante considera A o 0 el primer dígito? ¿Y es Z o 9 el último dígito? O si el atacante sabe que todos usan contraseñas que comienzan con caracteres hacia el final del alfabeto, entonces pueden probar la fuerza bruta en secuencia inversa, y la contraseña que comienza con '0' será más segura.

Desafortunadamente, la velocidad a la que se rompen las contraseñas es tanto sobre la cantidad de dígitos como la predictibilidad del comportamiento humano.

Simplemente no confunda las técnicas de descifrado de contraseñas con fuerza bruta.

La fuerza bruta significa literalmente comenzar con 1 carácter probando alfabéticamente todos los posibles, luego pasar a 2 caracteres, 3, 4, etc ...

Una vez que se aplica un algoritmo o una lógica heurística, ya no se llama fuerza bruta.

Entonces, ¿por qué la gente sigue hablando de la fuerza bruta? La razón es que para aplicar una técnica de fuerza bruta no necesita ningún pensamiento especial, y la cantidad de personas capaces de ejecutar una técnica de fuerza bruta es probablemente 10 veces mayor que la cantidad de personas que pueden descargar una herramienta de craqueo desde Internet y realmente Úsalo para descifrar la contraseña.

Otra razón es que si hubiera elegido una contraseña de 8 caracteres como j$d1Ya+3 , las técnicas "inteligentes" no van a ayudar mucho, por lo que algunas personas quieren entender cuánto tiempo tomará la fuerza bruta para funcionar.

De la bit9 blog :

  

Para que una contraseña se considere segura, debe ser verdaderamente aleatoria y única.

     

¿Qué significa ser verdaderamente aleatorio?

     

Muchas personas a menudo eligen una palabra base para su contraseña, como "contraseña", y la transforman para que sea lógicamente "compleja". Por lo tanto, reemplazarán las letras con caracteres especiales o dígitos y agregarán algunas mayúsculas. Así que una contraseña que era "contraseña" se convierte en P @ 55w0rD. De hecho, si cada letra podría ser una de una letra mayúscula, minúscula o especial, hay 6,561 (38) versiones de "contraseña", que están lejos de ser una cantidad irrompible.

     

Por lo tanto, un pirata informático que usa una técnica de fuerza bruta no solo va a comenzar con "aaaaaaaa" y bajará de la lista, "aaaaaaab", "aaaaaaac", etc. Él va a aplicar inteligencia al cracking. Esa inteligencia a menudo involucra el uso de palabras básicas comunes. Así que no solo intentará descifrar la muy simple "contraseña", sino también todas las 6,561 versiones, para incluir el complejo "P @ 55w0rD".

     

Hay aproximadamente 220,000 palabras básicas del diccionario, lo que significa que incluso si agregó hasta tres dígitos adicionales a su contraseña transformada basada en palabras base y formó algo así como "P @ 55w0rD123", una computadora tardaría unos 26 minutos descárgalo, no importa cuánto tiempo sea la contraseña. Con una aleatoriedad completa en una contraseña, los piratas informáticos no pueden hacer suposiciones comunes sobre su contraseña y reducir el espacio de fuerza bruta.

     

Pero eso no es todo. Una contraseña segura también debe ser única.

     

¿Qué significa ser único?

     

Lamentablemente, algunas empresas aún almacenan contraseñas de texto reales en sus bases de datos en lugar de los hash, por lo que si un pirata informático ingresa al sistema, ahora tiene más palabras de base para agregar a su lista. Entonces, si usa la misma contraseña, o incluso la palabra base, para dos cuentas y una de ellas está comprometida, sin importar qué tan larga o aleatoria sea, ahora se conocen el hash y la contraseña. El pirata informático puede iniciar sesión en cualquier cuenta para la que esté utilizando la misma contraseña. Esto también significa que si alguien más usa su contraseña, o alguna versión de la misma como se describe anteriormente, está comprometido.