20 অক্ষরের কম দৈর্ঘ্যের পাসওয়ার্ডগুলি কতটা নিরাপদ?

10

আমি সম্প্রতি আমার পাসওয়ার্ডটিকে ২০ টিরও বেশি অক্ষরে সেট করার জন্য একটি পুনঃসংশোধন পেয়েছি। এনক্রিপশনের জন্য ব্যবহৃত অ্যালগরিদমটি হ'ল 25 টি বিট প্রাথমিক কী সহ AES A একটি, কতটা সুরক্ষিত বলা যাক, এনক্রিপ্ট করা ফাইলগুলি বোঝার জন্য ব্রুটি ফোর্স আক্রমণের বিরুদ্ধে 8 চর পাসওয়ার্ড?

আমি জানি যে এটি বেশিরভাগ ওয়েবসাইটে একটি ভাল পাসওয়ার্ড আকার হিসাবে বিবেচিত হয়। এর একটি কারণ হ'ল তারা 3 বা আরও চেষ্টা করেও আক্রমণ থামাতে পারে।

password encryption brute-force-attacks

— cmserv
সূত্র

4

এটি একটি আকর্ষণীয় নিবন্ধ http://www.lockdown.co.uk/?pg=combi&s= বিভাগে বর্ণনা করেছে যে ডিফারেন্ট দৈর্ঘ্য এবং প্রতীক সেটগুলির জন্য কোনও পাসওয়ার্ডকে তাত্ত্বিকভাবে জোর করতে কতটা সময় লাগবে।

— মার্ক ডেভিডসন
সূত্র

ঠিক আছে, এটি একটি খুব আকর্ষণীয় লিঙ্ক। এটি আপনাকে কোন টাইম ফ্রেমের জন্য কোন ধরণের বলের প্রয়োজন তা একটি ভাল ধারণা দেয়। সুতরাং, পর্যাপ্ত সংস্থান দেওয়া, একটি 8 টি অক্ষরের পাসওয়ার্ড ভাঙাও সম্ভব, বিশেষত যদি এটি ভাল না হয়।

— সেমসওয়ার

এটি এখনও 100,000 পাসওয়ার্ড / সেকেন্ডে 83.5 দিন সময় নিতে চলেছে। বেশিরভাগ আক্রমণে এটি সত্যিই সম্ভব নয়। বিশেষত আপনি যদি কোনও পিজিপি পাসফ্রেজের পরিবর্তে কোনও সার্ভারের পাসওয়ার্ডের কথা বলছেন। যদি তাদের কাছে হ্যাশ না থাকে তবে 8 (এলোমেলো) চরগুলি মূলত অবিচ্ছেদ্য।

— সিয়ান

আমি সার্ভারের পাসওয়ার্ডগুলি নিয়ে কথা বলছিলাম না কারণ আমি জানি সেখানে আপনি আরও সহজ পাসওয়ার্ড ব্যবহার করতে পারেন কারণ সার্ভাররা আক্রমণগুলির বিরুদ্ধে অতিরিক্ত সুরক্ষা দেয়। আমি অন্যান্য ক্ষেত্রে যেমন অর্থ ছিল ফাইল এনক্রিপশন।

— সেমসওয়ার

এই উত্তরটি আপডেট করা ভাল। "স্থায়ীভাবে বন্ধ" অফার করে লিঙ্কটি আর কার্যকর হয় না। যে কোনও বিষয়বস্তুটি দেখতে চাইলে, ওয়েবব্যাক মেশিনটি আপনার পিছনে রয়েছে: web.archive.org/web/20180412051235/http://www.lockdown.co.uk/…

— হাওয়ার্ড লিন্স III 3

উপসংহার আমি দেখতে পেয়েছি: সামান্য এবং মূলধনী বর্ণমালা এবং সংখ্যাগুলি মেশান। দৈর্ঘ্য> 15 ভাল।

— ছাত্র

6

ব্রুস শ্নিয়ার থেকে এই ব্লগ পোস্টে যে কেউ এই নীতিটি লিখেছেন তা আপনি উল্লেখ করতে চাইতে পারেন ।

পাসওয়ার্ডগুলির শক্তি কেন ওয়েবে যে কারও সমস্যার মধ্যে সবচেয়ে কম It's এটির একটি ভাল লিখনআপ।

— বোকা
সূত্র

+1 কারণ ব্রুস শ্নিয়ার সুরক্ষার রাজা তাঁর শব্দটি আইন।

— মার্ক ডেভিডসন

4

এই পোস্টে গৃহীত উত্তর দেখুন । এমন একটি 8 অক্ষরের পাসওয়ার্ড এমনকি সম্পূর্ণ অক্ষর ব্যবহার করে দেখায় যে ক্র্যাক হতে 10,000 ডলার সময় নিতে পারে!

— মার্কো কার্টার
সূত্র

1

আমি মনে করি আপনার ক্লাস এ এটাক (10,000 পাসওয়ার্ড / সেকেন্ড) এ উল্লেখ করা হচ্ছে। যদি আমি এই টেবিলটি লক্ষ্য করি এবং একটি বৃহত প্রতিষ্ঠান সম্পর্কে চিন্তা করি তবে এটি কেবল ৮ 86 টি অক্ষর, ৮ টি চরিত্রের পাসওয়ার্ড, ক্লাস E বা F আক্রমণ: 34 থেকে 346 দিন পর্যন্ত কার্যকর হতে পারে। এটি 10000 বছর নয়;)

— সেমিসার্ভ করুন

সত্যি কথা বলতে কি আমি পোস্টে গণিত পরীক্ষা করিনি!

— মার্কো কার্টার

3

যদি আপনি ব্রু ফোর্স হিসাবে রেনবো টেবিলের ব্যবহার গণনা করেন (মতামত পৃথক হয়) তবে 8 টি অক্ষরের জন্য, পাসওয়ার্ডের সমস্ত অক্ষরগুলিকে প্রায় 10 সেকেন্ড অন্তর্ভুক্ত রেইনবো টেবিল ব্যবহার করে। 20 অক্ষরের পাসওয়ার্ড (একই অক্ষর, একই রংধনু টেবিল), 30 সেকেন্ডেরও কম। ক্যাচটি হ'ল টেবিলগুলি তৈরি করতে এটি অনেক সময় নেয় । আমার কাছে কেবল রাতেই 3GHz মেশিন প্রসেসিং উত্পাদন করতে প্রায় এক মাস সময় লেগেছিল took অন্যদিকে, আপনার কেবল একবার এটি করা দরকার।

দীর্ঘ পাসওয়ার্ড মনে রাখার চেষ্টা করার বিষয়টি অক্ষরের বিকল্পের সংমিশ্রণ এবং একটি শব্দগুচ্ছ ব্যবহার করে সহজেই সমাধান করা হয় is এমনকি "# ফ্রে 3 ডিডি এম 3 ক্রুরি #" হিসাবে সাধারণ কিছু বেশিরভাগ ব্যবহারের পক্ষে জটিল, তবুও এটি মনে রাখা খুব সহজ।

— জন গার্ডেনিয়ার্স
সূত্র

MD5 পাসওয়ার্ডগুলিতে বেশ বড় লবণ ব্যবহার করা হয়। আমি মনে করি না যে আপনার রামধনু টেবিলগুলি প্রতিটি 8 টি অক্ষরের পাসওয়ার্ড এবং প্রতিটি সম্ভাব্য পাসওয়ার্ডের জন্য সমস্ত লবণের জন্য যথেষ্ট বড় হতে চলেছে।

— ক্রিস

আপনি কি এতে নিজের সুরক্ষা ঝুঁকিপূর্ণ করবেন? আমার টেবিলগুলি মোট 25 জিবি। এটি প্রতিটি 650MB এ 40 টেবিল। একদিন আমি একটি বড় সেট জেনারেট করব। :)

— জন গার্ডেনিয়ার্স

1

হুম, এমডি 5 পাসওয়ার্ডের জন্য 2 ^ 32 সল্ট নেই? এটি 2 ^ 32 * 650mb। সে জন্য শুভকামনা।

— ক্রিস

আমি সমস্ত ASCII চরিত্র এলএম হ্যাশগুলি 64Gb এর জন্য রেইনবোজের টেবিলগুলি করেছি আমার বিশ্ববিদ্যালয়গুলির ক্লাস্টার 20 টি নোড ব্যবহার করে প্রায় এক সপ্তাহ সময় নিয়েছিল। বেশ মানসিকতায় যেতে প্রায় 3 মিনিট সময় নেয়। সমস্ত উইন্ডো পাসওয়ার্ড <= 16 অক্ষর ক্র্যাক করার অনুমতি দেয়।

— মার্ক ডেভিডসন

2

উইকিপিডিয়া অনুসারে, এলএম হ্যাশগুলিতে একটি লবণ নেই। MD5 পাসওয়ার্ডগুলিতে একটি লবণ থাকে, যার অর্থ যে কোনও একক পাসওয়ার্ডে (সল্টস্পেস * পাসওয়ার্ড) হ্যাশ থাকতে পারে, যার অর্থ আপনার প্রতি লবণের জন্য ১ টি রংধনু টেবিল থাকা দরকার।

— ক্রিস

2

বিবেচনা করুন যে একটি আট-অক্ষরের পাসওয়ার্ড মনে রাখা যেতে পারে। 20-অক্ষর পাসওয়ার্ড হবে লিপিবদ্ধ করা।

এবং তারপরে কেউ এটি পড়তে পারেন।

— জন স্যান্ডার্স
সূত্র

তুমি ঠিক বলছো. এবং আরও অনেকগুলি কারণ থাকতে পারে যা এনক্রিপ্ট করা ফাইলগুলির সুরক্ষার ধরণকে প্রভাবিত করবে।

— সেপ্টেম্বর

একটি দীর্ঘ দীর্ঘ পাসওয়ার্ড অগত্যা লিখিত নাও হতে পারে যদি এটি 5 টি সাধারণ ইংরেজি / আপনার ভাষার শব্দের সেট থাকে। মস্তিষ্কগুলি তাদের স্মরণে রাখা ভাল এবং সেখানে তাদের প্রচুর পরিমাণ রয়েছে।

— ক্রিস

1

নিজের মস্তিষ্কের জন্য কথা বলুন। আমার 20 টি চরিত্র মনে রাখার চিন্তায় এখনই বন্ধ হয়ে যায়।

— জন স্যান্ডার্স 13

যদি আপনার পাসওয়ার্ডটি "অন্ত্রের অন্ধকার রূপক রূপক পাইয়ার্স স্থবির" হয়ে থাকে তবে আপনি সম্ভবত কয়েকবার ব্যবহার করার পরে এটি মনে রাখতে সক্ষম হবেন।

— ক্রিস

নাঃ। শব্দের মধ্যে কোনও সম্পর্ক নেই। নিজেকে বলার মতো গল্প নেই যে পরের বার আমার পাসওয়ার্ডের প্রয়োজন হলে নিজেকে বলার কথা মনে পড়ে। আমি এলোমেলো পাসওয়ার্ড তৈরি করতে একটি পাসওয়ার্ড জেনারেটর প্রোগ্রাম ব্যবহার করি (আমি সর্বদা কমপক্ষে আটটি অক্ষর ব্যবহার করি)। "দারুচিনি" = "দারুচিনি" + "প্রদর্শন" এর মতো আমি মনে রাখতে পারি এমন একটি পাসওয়ার্ড না পাওয়া পর্যন্ত আমি উত্পন্ন করে চলেছি। যে , আমি পরিচালনা করতে পারি।

— জন স্যান্ডার্স

2

আপনি " পাসওয়ার্ড বনাম পাসফ্রেজ " নিবন্ধে আগ্রহী হতে পারেন । তাদের উপসংহারটি হল যে একটি 9 টি চরিত্র সম্পূর্ণরূপে এলোমেলো পাসওয়ার্ড একটি 6 শব্দ পাস বাক্যাংশের সমান। তবে তারা মনে করে যে একটি 6 শব্দের বাক্যাংশ মনে রাখা সহজ হবে।

— তামাশা
সূত্র

1

এটি আপনার ব্যবহার করা অক্ষরের উপর নির্ভর করে, কারণ এটি আপনার সংযুক্তির সংখ্যার পরিবর্তন করে। 8 টি অক্ষর ধরে নেওয়া:

অভিধান শব্দ:

egrep "^। {8} $" / usr / শেয়ার / ডিক / শব্দ | wc -l
15601

লোয়ার কেস লেটারস: 26 ⁸ বা 208827064576
লোয়ার এবং আপার কেসের চিঠিগুলি: 52 ⁸ বা 53459728531456
নিম্ন, উচ্চ এবং সংখ্যা: 62 ⁸ বা 218340105584896

বিরামচিহ্ন এবং অন্যান্য চিহ্ন যুক্ত করুন এবং জোর করে জোর করাতে কিছুটা সময় লাগছে।

এই সংখ্যাগুলি মোট সংমিশ্রণ যা চেষ্টা করতে হবে। স্পষ্টতই, কোনও হ্যাকার পাসওয়ার্ড পাওয়ার পরে প্রতিটি সংমিশ্রণ চেষ্টা করে না, সুতরাং প্রয়োজনীয় সংমিশ্রণের গড় সংখ্যা পেতে দুটি ভাগ করে বিভক্ত করুন।

হার্ড হ্যাশগুলির ফলস্বরূপ হ্যাশ গণনা করতে সিপিইউ সময় দীর্ঘ হয়, সুতরাং মোট সময়টি আরও দীর্ঘ হয়। জন থেকে একটি উদাহরণ:

বেঞ্চমার্কিং: ট্র্যাডিশনাল ডিইএস [/৪//64 বিএস] ... সম্পন্ন হয়েছে
অনেকগুলি সল্ট: 819187 সি / স রিয়েল, 828901 সি / গুলি ভার্চুয়াল
কেবলমাত্র একটি লবণ: 874717 সেকেন্ডের আসল, 877462 সি / গুলি ভার্চুয়াল

বেঞ্চমার্কিং: বিএসডিআই ডিইএস (x725) [/৪/64৪ বিএস] ... হয়েছে
অনেকগুলি সল্ট: 29986 সি / গুলি রিয়েল, 30581 সি / সে ভার্চুয়াল
কেবলমাত্র একটি লবণ: 29952 সি / স রিয়েল, 30055 সি / সে ভার্চুয়াল

বেঞ্চমার্কিং: ফ্রিবিএসডি এমডি 5 [32/64 এক্স 2] ... শেষ
কাঁচা: 8761 c / s রিয়েল, 8796 সি / গুলি ভার্চুয়াল

বেঞ্চমার্কিং: ওপেনবিএসডি ব্লোফিশ (x32) [32/64] ... সম্পন্ন
কাঁচা: 354 সি / স রিয়েল, 356 সি / সে ভার্চুয়াল

বেঞ্চমার্কিং: কার্বেরোস এএফএস ডেস [48/64 4 কে] ... হয়েছে
সংক্ষিপ্ত: 294507 c / s আসল, 295754 সি / গুলি ভার্চুয়াল
দীর্ঘ: 858582 গ / স রিয়েল, 863887 সি / স ভার্চুয়াল

বেঞ্চমার্কিং: এনটি এলএম ডেস [/৪/6464 বিএস] ... হয়েছে
কাঁচা: 6379 কে / স রিয়েল, 6428 কে সি / গুলি ভার্চুয়াল

বেঞ্চমার্কিং: এনটি এমডি 4 [জেনেরিক 1x] ... হয়েছে
কাঁচা: 7270 কে / স রিয়েল, 7979 কে / সি ভার্চুয়াল

বেঞ্চমার্কিং: এম $ ক্যাশে হ্যাশ [জেনেরিক 1x] ... হয়েছে
অনেক সল্ট: 12201K সি / গুলি আসল, 12662 কে সি / গুলি ভার্চুয়াল
কেবলমাত্র একটি লবণ: 4862 কে / স রিয়েল, 4870 কে / স ভার্চুয়াল

বেঞ্চমার্কিং: এলএম সি / আর ডেস [নেটলম] ... শেষ
অনেকগুলি সল্ট: 358487 সেকেন্ডের আসল, 358487 সি / গুলি ভার্চুয়াল
কেবলমাত্র একটি লবণ: 348363 সেকেন্ডের আসল, 348943 সি / সে ভার্চুয়াল

বেঞ্চমার্কিং: এনটিএলএমভি 1 সি / আর এমডি 4 ডেস [নেটলিটম] ... সম্পন্ন হয়েছে
অনেকগুলি সল্ট: 510255 সেকেন্ডের আসল, 512124 সি / সে ভার্চুয়াল
শুধুমাত্র একটি লবণ: 488277 সেকেন্ডের আসল, 489416 সি / গুলি ভার্চুয়াল

অবশ্যই এটি পুরোপুরি একাডেমিক, কারণ হ্যাকাররা কেবলমাত্র আপনার সচিবকে ফোন করবে যে তারা আইটি থেকে এসেছে এবং তাদের কোনও কিছুর জন্য তাদের পাসওয়ার্ড প্রয়োজন এবং আপনার শক্তিশালী পাসওয়ার্ড মূল্যহীন।

— ডেভিড পশলে
সূত্র

1

আমি সুরক্ষার জন্য অ-তুচ্ছ পাসফ্রেজ ব্যবহার করি

* সম্পত্তি যে গুরুত্বপূর্ণ
* স্টাফ যা বিরোধী হাতুড়ির বিষয় নয় (বারবার চেষ্টা করার পরে লক আউট)
* এমন স্টাফ যা জেনে-শুনে জোর করে / অভিধান-ভিত্তিক / হাইব্রিড আক্রমণে প্রকাশ করতে পারে

আমি আমার জিমেইল অ্যাকাউন্টের সাথে কম উদ্বিগ্ন, যেহেতু সেই পাসওয়ার্ডটি ক্র্যাক করার জন্য জোর-জোর প্রচেষ্টা করলে অ্যাকাউন্টটি সহজেই লক হয়ে যায় (এবং সার্ভারে অ্যাক্সেস সহ যে কেউ হ্যাশটিকে তাদের পছন্দসই একটিটির সাথে প্রতিস্থাপন করবে, এটি ক্র্যাক করার চেষ্টা করবে না)।

সেরা পাসফ্রেজ দীর্ঘ (> 12 টি) এবং ক্রিপ্টোগ্রাফিকভাবে এলোমেলো। তবে এগুলি মনে রাখা আরও কঠিন। সুতরাং, একটি পাসফ্রেজ যা আপাতদৃষ্টিতে এলোমেলো অক্ষরের সাথে একাধিক শব্দের সংমিশ্রণ করা ভাল সমঝোতা হতে পারে (সম্ভবত আপনার প্রিয় গানের লিরিকের প্রথম দু'টি লাইনের প্রথম 1 বা 2 অক্ষর)।

— গ্যারেট
সূত্র

0

ক্লায়েন্ট / সার্ভারের যোগাযোগ থেকে আপনি যে সুরক্ষা পেয়েছেন তা রয়েছে, যেমন আপনি বলেছিলেন, যখন আপনি 3 চেষ্টা করার পরে আক্রমণকারীদের থামাতে সক্ষম হন (যখন তারা ওয়েব অ্যাপ্লিকেশনগুলির মতো নেটওয়ার্কের উপর আক্রমণ করে)। এই পরিস্থিতিতে, পাসওয়ার্ডের প্রায় কোনও দৈর্ঘ্যই যথেষ্ট হিসাবে যুক্তিযুক্ত হতে পারে।

তবে যদি কোনও অভ্যন্তরীণ হ্যাশ সংক্ষিপ্ত পাসওয়ার্ড সহ এই ডাটাবেসটিকে ধরে ফেলে এবং 3 চেষ্টার "ওভার নেট" সীমাবদ্ধাকে বাইপাস করতে সক্ষম হয়, গেমটি পরিবর্তন করে।

প্রতি অ্যাকাউন্টে প্রচেষ্টার সংখ্যা সীমাবদ্ধ সহকারে সতর্কতাটি হ'ল এটি কেবলমাত্র একটি নির্দিষ্ট অ্যাকাউন্টে লক্ষ্যযুক্ত প্রচেষ্টার জন্য যথেষ্ট। আপনার প্রদত্ত (বা নির্ধারিত) পাসওয়ার্ড সহ সমস্ত অ্যাকাউন্টের উপর আক্রমণ থেকে রক্ষা করা দরকার - আপনি যখন অ্যাকাউন্টে প্রতি প্রচেষ্টাের সংখ্যা সীমাবদ্ধ করেন তখন এটি কোনও অ্যালার্মকে ট্রিগার করবে না। আজকের নাট এবং বোটনেটস দেওয়া, আপনি এমনকি যুক্তিও দিতে পারবেন না যে প্রতি আইপি প্রতি প্রচেষ্টার সংখ্যা সীমাবদ্ধ করা সুরক্ষা চিন্তা করার একটি ভাল উপায়।

পড়ার জন্য ভাল উত্স ইতিমধ্যে অন্যান্য উত্তরে দেওয়া হয়েছে।

— ওলাফ
সূত্র