Es posible que los intentos de fuerza bruta tengan éxito antes del peor de los casos, ¿correcto?

7

Cuando leo que una contraseña es segura y declaro que tomaría X cantidad de semana, años, etc., ¿no se refiere al peor de los casos?

¿Qué sucede si el método de fuerza bruta es exitoso en mucho menos tiempo que en el "peor de los casos"?

El evento reciente con LastPass, en el que notaron una gran cantidad de tráfico que salía de su servidor, había pensado en esto. ¿Alguien podría haber descargado mis datos de LastPass, que tiene todos mis nombres de usuario y contraseñas, e intentar un crack de fuerza bruta para descifrarlos? He utilizado una contraseña muy larga para cifrar mis datos, lo que debería ser difícil de descifrar, pero ¿qué ocurre en 5-10 años cuando tenemos un hardware informático mucho más rápido? ¿Podría ser roto en ese punto?

    
pregunta Mark Norgren 18.09.2011 - 17:09
fuente

3 respuestas

12

Para la mayoría de los ataques de craqueo, el costo del ataque promedio es aproximadamente la mitad del costo del peor de los casos. En pocas palabras, si hay N contraseñas posibles, acertará con la correcta después de N / 2 . Tenga en cuenta que este es un promedio : siempre puede "tener suerte" o "tener mala suerte" en cualquier instancia. Esto se puede cuantificar: la probabilidad de encontrar la contraseña correcta después de probar M es M / N . Por lo tanto, existe una probabilidad de 1/10 de descifrar la contraseña en el décimo momento del peor de los casos, 1/20 de probabilidad para el 20 del peor de los casos, y así sucesivamente.

    
respondido por el Thomas Pornin 19.09.2011 - 01:57
fuente
10

Algunas veces las personas estiman cuánto tiempo tomará descifrar una contraseña en el peor de los casos; a veces, basado en el tiempo promedio para romperlo. Por lo general, el tiempo promedio para descifrar la contraseña es la mitad del peor de los casos.

Claro, es posible que alguien pueda tener suerte y descifrar la contraseña mucho más rápido de lo esperado. No importa qué tan fuerte sea su contraseña, es posible (al menos en teoría) que alguien pueda tener suerte y simplemente adivine su contraseña a la primera conjetura, al igual que es posible que podrías ganar la lotería mañana. Aunque no es muy probable. Del mismo modo, no es muy probable que alguien tenga la suerte de descifrar la contraseña mucho más rápido de lo esperado.

En particular, si el peor momento para descifrar la contraseña es T , entonces existe una probabilidad de 1 / n de que un atacante descifre la contraseña en < em> T / n intenta o menos. Por ejemplo, si el peor de los casos es 1000 años, hay un 10% de probabilidad de que un atacante tenga éxito en 100 años o menos, un 1% de probabilidad de que tenga éxito en 10 años o menos, y un 0,1% de probabilidad de que lo logre. tener éxito en 1 año o menos.

Si esto te preocupa, la mejor defensa es elegir una contraseña más fuerte (una que sea más difícil de adivinar, por lo que el tiempo en el peor de los casos será más largo).

    
respondido por el D.W. 19.09.2011 - 01:57
fuente
6

La estimación del tiempo de duración de una fuerza bruta se realiza en varias suposiciones ...

Dependiendo de cómo se calcule la estimación, uno de estos supuestos es que la computadora sabe de qué conjunto de caracteres se compone su contraseña. Si agrega un solo símbolo no alfanumérico en su contraseña, aumenta la complejidad en gran medida.

Cada carácter adicional y cada carácter que expande el conjunto de caracteres por el que debe pasar la fuerza bruta aumentará la seguridad de su contraseña.

Cuando LastPass fue supuestamente comprometido, es probable que los datos recopilados estén en forma de hash . Estos se pueden descifrar mediante rainbow tables sin embargo, tendrían que ser generados a un gran conjunto de cosas que nos permite que tengamos que ver con el contenido de nuestro hotel. llaves de fuerza bruta.

La segunda suposición defectuosa principal está en el número de permutaciones que se pueden intentar por segundo. Como ejemplo, podría generar dichas tablas arcoiris con una amplia gama de máquinas, además, solo tiene que generarlas una vez y se pueden reutilizar.

    
respondido por el funkotron 18.09.2011 - 18:12
fuente

Lea otras preguntas en las etiquetas