it-swarm.com.de

Sind Leet-Passwörter leicht zu knacken?

Ein sicheres Passwort zu machen UND sich daran zu erinnern, ist wie beim Sprechen zu essen. Du würgst. Das gleiche kann also passieren, wenn Sie ein p455w0 (R) haben. | L1K3thys und jemand es knackt. Ich bin mir nur nicht sicher, ob es tatsächlich wahr ist. Sind diese Leet-Passwörter knackbarer als vollständig zufällige Passwörter, die ein Zufallspasswortgenerator erstellt? Gibt es da draußen irgendwelche Leet-Passwort-Cracker? Gibt es eine Möglichkeit, einen Penetrationstest für einige Offline-Leet-Passwörter sicher zu simulieren?

60
Foxcat385

Ich denke Trey Blalocks Antwort ist großartig, aber ich möchte es mit etwas Mathe ergänzen.

Wenn Ihr Passwort zufällig aus dem 171.476 Wörter im Oxford English Dictionary ausgewählt wird, erhalten Sie log2 (171476) oder ungefähr 17,4 Bit Entropie.

Nehmen wir an, das durchschnittliche Wort enthält ungefähr 4 natürliche Leet-Substitutionen. Durch zufälliges Ausführen oder Nicht-Ausführen jeder Substitution wird ein Bit hinzugefügt. Wenn Sie also das Leet hinzufügen, wird die Entropie um 4 Bit erhöht, was bedeutet, dass das Knacken 16-mal so lange dauert. (Wenn Sie nur leet für alle verfügbaren Ersetzungen verwenden, fügen Sie nur ein Bit hinzu - das Passwort lautet entweder leet oder nicht leet.)

Andererseits hat ein vollständig zufälliges 8-stelliges alphanumerisches Passwort (Groß- und Kleinbuchstaben) log2 (62 ^ 8) oder ungefähr 47,6 Bit Entropie. Das heißt, das Knacken dauert etwas mehr als eine Milliarde Mal!

Das Hinzufügen von Leetspeak ist also etwas besser als nur ein englisches Wort zu nehmen, aber es ist bei weitem nicht so gut wie das Randomisieren.

78
Anders

Cracking-Bibliotheken enthalten gängige Leet-Substitutionsalgorithmen, und es gibt Leet-Wörterbücher, die von Tools wie Hydra verwendet werden können. Es gibt auch Tools, um ein ganzes Wörterbuch von Wörtern in "Leet-speak" umzuwandeln.

Noch wichtiger ist, dass Hashes für die gängigsten Leet-Passwörter und Leet Word-Variationen verfügbar sind. Wenn also jemand einen großen Passwort-Dump von diesen gegen einen sehr großen Satz von vorab gehashten Wörtern knackt, die verwendete Leet-Passwörter enthalten, werden sie sehr wahrscheinlich Übereinstimmungen finden.

Ein besserer Weg, um die tatsächlichen Konsequenzen zu bestimmen, könnte darin bestehen, sich bereits aufgetretene Passwort-Dumps anzusehen, die auch Leet-Passwörter enthielten. Der Beweis, dass sie geknackt wurden, ist in einem Passwort-Dump der realen Welt sichtbar, der an die Öffentlichkeit gegangen ist. Ebenso würde ihre Anwesenheit in gemeinsamen Hash-Tabellen (MD5 und SHA1) die Wahrscheinlichkeit erhöhen, dass sie leicht geknackt werden.

49
Trey Blalock

Obligatorisch und äußerst relevant XKCD Referenz: - enter image description here

Ich bin geneigt, beides Ansätze zu kombinieren, aber ich denke nicht, dass das einen großen Unterschied macht. Ein anderer Ansatz wäre, den ersten Buchstaben jedes Wortes in einem Lieblingsgedicht oder -lied zu verwenden. NGGYUNGLYDNGRAADY etc ...

16
mcottle