Wenn ich dies in ein Passwort eingebe, garantiert es so ziemlich, dass es niemals brutal erzwungen wird?

Ein Brute-Force-Angriff auf ein Passwort tritt häufig auf Zwei Möglichkeiten: Entweder erhält ein Angreifer eine Datenbank mit gehashten Kennwörtern, oder ein Angreifer versucht, sich mit einem Benutzernamen (oder einer anderen Kontokennung) und einem Kennwort bei einem Live-System anzumelden. Eine übliche Methode, um Hash-Passwortdatenbanken anzugreifen, besteht darin, einen vorberechneten Satz von Werten und Hashes zu verwenden, der als Regenbogentabelle bezeichnet wird. Siehe Was sind Regenbogentabellen und wie werden sie verwendet? Eine Regenbogentabelle ist kein reiner Brute-Force-Angriff, da sie weniger als den gesamten Bereich möglicher Eingaben verwendet. Da eine echte Brute Force jede mögliche Eingabe angreift, unabhängig davon, ob es sich um einen Angriff auf eine Hash-Passwortdatenbank oder eine Live-Systemanmeldung handelt, hat keine Auswahl von Zeichensätzen oder eine Kombination verschiedener Sätze einen Einfluss auf einen Brute Force-Angriff. Praktisch echte Brute-Force-Angriffe sind selten. Regenbogentischangriffe sind häufiger und die Verwendung eines Werts aus einem ungewöhnlichen Satz ist eine wirksame Verteidigung gegen viele Regenbogentischangriffe.

habe ich Recht, wenn ich vermute, dass Angreifer es niemals für ihre Zeit wert halten werden, Zeichen ohne Tastatur zu überprüfen? Ist ihnen das überhaupt bewusst?

Es gibt Angreifer, die ungewöhnliche Eingabesätze verwenden, um Passwörter anzugreifen, aber ich vermute, dass sie selten sind. Jeder einigermaßen raffinierte Angreifer hat über Dinge wie Nicht-Tastatur-Charaktere nachgedacht und die meisten treffen eine wirtschaftliche Entscheidung, um die einfacheren Ziele zu verfolgen. Es gibt viele Ziele mit schlechten und schwachen Passwörtern, daher entwerfen Angreifer Angriffe für diese schwachen Passwörter. Also, ja, viele (aber nicht alle) Angreifer halten sichere Passwörter für nicht "ihre Zeit wert".

mit einem einzelnen Nicht-Tastatur-Zeichen irgendwo in Ihrem Passwort, über das Sie sich niemals Sorgen machen müssten Halten Sie den Rest des Passworts sicher.

Nein. Stärke ist ein Maß oder Widerstand gegen Angriffe. Wenn Ihr Passwort ein einzelnes Zeichen ohne Tastatur ist, ist es schwächer als ein Passwort mit 33 Kleinbuchstaben. Die Länge in Bit ist ein wichtiges Maß für die Kennwortstärke. Bits anstelle von Zeichen, da kryptografische Berechnungen wie Hashes in Bits und nicht in Zeichen ausgeführt werden. Ein Zeichensatz ist wie der Satz von Nicht-Tastaturzeichen nur ein Element bei der Erstellung sicherer Kennwörter. Er ist an sich nicht sicher.

Da ich wissen musste, dass ich eine NTLM-Regenbogentabelle mit dem nicht gedruckten Zeichen alt 0160 (und ohne Tastatur) 0161-0164 generiert habe. Die Tabelle erkannte das nicht gedruckte Zeichen in hex.

Die Tabelle konnte das nicht gedruckte Zeichen nach dem Speichern des Hash erkennen. (Es war ein Dummy-Konto mit einem 4-stelligen Passwort zu Demonstrationszwecken.)

Es sieht ungefähr so ​​aus:

Also, obwohl es nicht so ist unmöglich, ich hatte nichts in meinem Toolkit, was dies erkennen würde. Die meisten Leute mit herumwirbelnden Regenbogentischen stammen entweder aus der Community-Quelle oder haben einen bestimmten Grund, sie zu erstellen.

Ich habe selten Leute gesehen, die diese Zeichen verwenden. Es ist jedoch durchaus sinnvoll, je nach Engagement ein paar weitere Tabellen zu erstellen: £ ¥ ¡und einige andere Satzzeichen, die nur in nicht verwendet werden englische Sprachen. Wenn ich auf Tastaturen rund um den Globus nach den häufigsten suche und nach Charakteren suche, die in der US-104 nicht vertreten sind, habe ich einen guten Start. Aber auch dieses Tabellen-Set basiert, wenn es erstellt wird, auf einer Sache: der allgemeinen Verwendung. Wenn dies normalerweise nicht der Fall ist, ist es wahrscheinlich einfacher, einen anderen Weg zu finden, um die Steuerung zu umgehen.

Um mit einer auf einer direkten Eingabe basierenden Brute Force zu sprechen, gilt dasselbe. Jeder, der es in den Zeichensatz für die Eingabe aufnimmt, kann es tun. Es ist einfach nicht normal, dies zu tun.

Auf eine Art und Weise, die ich sage, ist es ja weniger anfällig für brutales Forcen, wenn auch nicht unmöglich.

- Bearbeiten -

Für eine reelle Zahlenperspektive zur Tabellengenerierung:

Der grundlegende Zeichensatz, den ich für NTLM angehäuft habe, passt in ein 750-GB-Laufwerk mit den Zahlen, die ich ' Ich habe es geschafft, wenn ich eine neue erstellen wollte: (obere + untere + Zahl + Druckzeichen = ungefähr 96 Zeichen)
Generierungszeit 9 d 22 h (wenn zu hoch, Anzahl der Tabellen erhöhen)
Eindeutige Kette Anzahl 6.094.373.862
Tabellengröße 90,81 GiB (97.509.981.789 Bytes)
Gesamtgröße 726,51 GiB (780.079.854.310 Bytes)

Nun ist dies nicht optimal, aber zum Vergleich sind die gleichen Einstellungen (eigentlich ein wenig freundlicher, 8 Tabellen statt 4 mit RTC) für den Volldruck + Nichtdruck + Nicht-Tastatur-ASCII-Satz (191 Zeichen) entspricht (mit Komprimierung)
Generierungszeit 395 y (wenn zu hohe Anzahl von Tabellen erhöht)
Eindeutige Kettenanzahl 4.823.766.839.375
Tabellengröße 57,03 TiB (62.708.968.911.909 Bytes) Gesamtgröße 14,20 PiB (15.990.787.072.536.668 Bytes

Im Wesentlichen werden 2 Größenordnungen mehr, wenn Sie das gesamte ASCII-Zeichenraumfenster verwenden, als Passworteingabe akzeptiert. Ich muss eine Weile auf diese 20 Petabyte warten Seagate, bevor Sie die Straße zu diesem Tisch hinunterfahren. Und Prozessoren müssen schneller werden, wenn der Tisch fertig sein soll, bevor 8 Generationen von mir gelebt haben und gestorben sind.

Ein Angreifer muss nur den Zeichensatz erweitern, mit dem er ein Kennwort brutal erzwingt, unabhängig davon, welche Zeichen darin enthalten sind. Je größer der Satz, desto mehr Zeit muss er aufwenden.

Die übliche Empfehlung lautet, dass Sie den verwendeten Zeichensatz verwenden, wenn Sie kleine Buchstaben, Großbuchstaben, Zahlen und Symbole in ASCII eingeben ist groß genug, um Bruteforcing ausreichend zu behindern. Wenn Sie über das ASCII-Set hinausgehen, können Sie sich auch griechische oder russische Zeichen ansehen - das nicht druckbare und zufällige Unicode-Ding ist meiner Meinung nach etwas zu weit.

Sie können es natürlich tun, aber Es besteht ein Risiko: Sonst: Nicht alle Apps und insbesondere Websites und Datenbanken sind mit der UTF-Codierung kompatibel oder unterscheiden sich von ISO-8859-1. Dies bedeutet, dass Ihr Passwort möglicherweise nicht von einer App / Site akzeptiert oder, noch schlimmer, akzeptiert wird, aber auf dem Weg zur Datenbank durcheinander gerät, sodass Sie es nicht überprüfen können. Leider können alle Arten von Verrücktheiten auftreten, wenn Sie einer App, die dies nicht erwartet, Nicht-ASCII-Eingaben geben, insbesondere in Benutzernamen- und Kennwortfeldern.

Die Verwendung von Alt + #### (vier Ziffern) entspricht (aus Gründen der Widerstandsfähigkeit gegen Angriffe) der Verwendung der vier Ziffern als Kennwortzeichen, genau dort, wo Sie Ihr "Sonderzeichen" hinzufügen. Ziffern in Passwörtern sind keine völlig neue Sache.

"Angreifer werden es niemals in Betracht ziehen" ist die Grundlage für alle Schwachstellen. Angreifer werden darüber nachdenken. Sie haben sogar vor dir darüber nachgedacht. Wenn Sie sich auf die Dummheit der Angreifer verlassen, werden Sie nur dumme Angreifer besiegen - diejenigen, die auf jeden Fall am wenigsten gefährlich sind.

Praktischer gesagt, Sonderzeichen erschweren Ihnen das Leben, wenn Sie es versuchen Verwenden eines Geräts, das keine Alt-basierte Zeicheneingabe bietet (z. B. ein Kennwort auf einer Website, auf das Sie von Ihrem Smartphone aus zugreifen möchten).

Wie bereits in anderen Antworten erwähnt, liegt die Stärke des Passworts in seiner Größe. Sie können die Tasten Alt + 0 + 1 + 6 + 0 drücken, um ein ungewöhnliches Zeichen zu erhalten, aber dann erhalten Sie nur 1 Zeichen aus 5 Tastenanschlägen. Wenn Sie dies als grobe Schätzung betrachten, erhalten Sie möglicherweise 12, möglicherweise 13 Entropiebits aus einem Sonderzeichen. Sie hätten mehr (über 20) bekommen können, wenn Sie diese 5 Tastenanschläge für alphanumerische Zeichen verwendet hätten.

Kurz gesagt, es ist nützlicher, stattdessen 5 Zeichen auf der Tastatur zu verwenden - Sie bekommen viel mehr Geld für den Knall , wenn Sie das Wortspiel verzeihen.

Unter der Annahme einer soliden UTF-8-Unterstützung (wodurch andere Codierungsprobleme beseitigt werden) besteht die potenzielle Gefahr von Nicht-ASCII-Kennwörtern in der Unicode-Normalisierung.

Zeichen wie ö können auf mehrere Arten dargestellt werden, dh als einzelne ö Zeichen oder als zwei Codepunkte: o+¨

Im Allgemeinen betrachten Computer diese nicht als gleich, obwohl sie es wirklich sind.

Infolgedessen akzeptiert eine naive Implementierung, die die Passworteingabe vor der Überprüfung nicht normalisiert, das Passwort möglicherweise nicht. pässwørd , wenn Sie es schaffen, es in einer anders normalisierten Form als beim Festlegen des Passworts einzugeben .

Wenn die Sicherheit nur auf der Annahme basiert, dass ein Angreifer Technik X nicht verwendet, ist dies eine ziemlich schwache Sicherheit. Es sollte angenommen werden, dass ein Angreifer es weiß.

Machen Sie wie beim Schach den stärksten Zug, als ob Ihr Gegner Ihre Absichten kennt.

Durch die Erweiterung des in Ihrem Passwort verwendeten Zeichensatzes wird es zwar stärker, aber es ist auch schwierig zu tippen und bietet keine 100% ige Garantie gegen Angriffe.

Noch wichtiger ist, dass Sie durch die Verwendung seltener Zeichen gefährdet werden Situationen, in denen Sie das Passwort kennen, es aber nicht verwenden können. Stellen Sie sich vor, Sie können ein Wiederherstellungstool nicht verwenden, weil es nicht mit Ihrem Kennwort kompatibel ist, oder Sie können Ihre Mailbox nicht vom Computer oder Smartphone eines anderen Benutzers aus überprüfen.

Zusammenfassend: Gegen einen Angriff im Wörterbuch- / Regenbogenstil sind sie in der Regel SEHR sicher, da ein einzelner untypisierbarer Charakter Sie aus allen gängigen Schemata herausholt, aber gegen einen echten Brute-Force-Angriff, den sie können Seien Sie viel schwächer als wenn Sie Ihre 2-5 anderen Tastenanschläge normal verwenden. Die optimale Strategie ist meiner Meinung nach, sie zu kombinieren. Stellen Sie sicher, dass Ihr Passwort zu viele Zeichen enthält, um von einem echten Brute-Force-Angriff in einem angemessenen menschlichen Zeitrahmen entdeckt zu werden, und fügen Sie ein Alt-% -Zeichen hinzu, um die "Beliebtheit" Ihres Passworts über eine als sinnvoll erachtete Vermutung hinaus zu senken. Dies kann Ihr Passwort effektiv so sicher machen wie eine wirklich zufällig generierte Zeichenfolge, aber leichter zu merken. Stellen Sie nur sicher, dass das zufällige Zeichen, das Sie verwenden, in keiner Programmiersprache oder in einem fremden Tastatursatz eine Bedeutung hat, wie z. B. die lustigen Zeichen, die in der Alt-Tabelle wirklich niedrig sind: ☺, ☻, ♥, ♦, ♣, ♠, ◘, ↕ usw.