三个单词密码
国家网络安全中心(NCSC)多年来一直倡导使用三个随机单词来创建强密码,并且国家犯罪局和英国的多名警察最近都重复了这一建议。但是这些密码到底有多强?
在我们去那里之前,我们应该承认,大多数人在多个站点和一个站点上使用一个或两个弱密码。系统。其中之一被破坏,这导致其他帐户通过密码填充而受到损害。与该较低标准相比,NCSC建议是好的。
但是我们很惊讶地发现密码管理器不在NCSC的前5名操作中。这就是它们如此重要的原因:
英语有很多单词–牛津英语在线词典有600,000多个单词,但是目前只有171,000个单词在使用。如果我们从当前使用的单词中选择三个随机单词,那么我们的搜索空间约为5,000万亿。是的,这很多,但是现代GPU的速度很快……确实非常快。我们的专用密码破解者之一可以每秒从基于磁盘的单词列表中搜索约200亿个密码(hashcat基准约为185 GH / s)。以这种速度,我们可以在4天内破解三个单词的密码。
该建议的问题在于没有人知道171,000个单词。受过大学教育的人知道的单词数量估计约为40,000个单词,因此我们创建了一个词典,其中包含66,000个最常用的单词,希望能够涵盖大多数人倾向于选择的大多数单词,并且减少了我们的搜索空间约为17倍,这使我们仅6小时即可搜索所有可能的三个单词的密码!嗯,ThreeRandomWords看起来不太好…
我们对NCSC网站上提供的示例密码“ RedPantsTree”感兴趣。所有这些单词都可以轻松地排在前30,000个最常用的单词中,但是我们决定使用大型词典对其进行攻击,以模拟更现实的攻击时间。我们还在NTLM哈希中添加了“ SuperfluousExonerateSerendipity”,以表明即使选择不太常用的单词仍然是一个问题。
NCSC密码在大约4个小时内被破解,整个搜索空间,包括我们罕见的三字密码,在大约6.5个小时内完成。
MMMSession ..........:papa_WWW 状态...........:正在运行 哈希名称........:NTLM 哈希目标......:/home/papa/threerandomwords.ntlm 开始时间.....:2021年1月6日星期三(4小时8分钟) 预计时间:2021年1月6日星期三(2小时38分钟) Guess.Base ....... ::文件(/opt/dictionaries/papa/english-66k-upperupper.txt),左侧 Guess.Mod ........ ::文件(/opt/dictionaries/papa/english-66k-upper.txt),右侧 已恢复........:0/3(0.00%)摘要 进度............:272600599101440/427621521183219(63.75%) 拒绝.........:0/272600599101440(0.00%) Restore.Point ....:3616604160/5675964921(63.72%) 候选人#1 ...:Owain律师Augury->欧文·萨维德 候选人。#2 ...:OviedoClaudianLatex-> Owain律师Leahy 候选人。#3 ...:OverysselSighted以前->奥维多·克劳迪娅宣言 候选人。#4 ...:过度劳累讯问疲倦-> OverysselSightWo de947fd0bbd9f4f5c65a5d802cae1597:RedPantsTree 。 。 f654100d842b2f6f68efeddcec2973bb:多余的例外
怎么用四个词……行得通吗?好吧,这确实使事情变得更加困难,但这又取决于单词的常用程度以及攻击者词典的大小。 xkcd示例的前三个词确实很常见,出现在我所看到的每个频率列表的前5,000个位置。装订较少见,通常位于18,000至20,000的位置。因此,要真正破解编码为NTLM哈希的特定四个单词的密码,在我们的一台密码破解服务器上大约需要5个月的时间。
尽管仅花大约6个小时即可浏览所有三个单词的密码,但这仅适用于首字母大写的单词。如果要破解所有小写字母,那将需要额外的6个小时,请添加“ 1”或“!”最后要多花6个小时。因此,如果攻击者入侵了您的Windows域,并且每个人都在使用NCSC建议,那么将需要永远破解吗?好吧,与直觉相反,破解1000个密码所花的时间与破解1个密码所花的时间相同,因此,如果您的NTLM哈希被破坏,几天之内,攻击者就会破坏您的大多数密码。由于NCSC建议也不要使密码过期,因此即使在5个月内破解四个单词的密码仍然是一个问题。
在Pen Test Partners,我们的IT团队默认在所有托管设备上安装密码管理器。密码管理器会创建随机生成的超级强密码,并对其进行加密以安全存储。我不知道我的密码中有99%是什么-它们都存储在我的密码管理器中,我不知道它们是什么也没关系。密码管理器将我登录到我需要的任何系统中,比输入amonie和Password1的速度更快!
对于更敏感的系统以及任何面向互联网的系统,我们还建议您使用双向身份验证(2FA)。这意味着,即使您的密码被盗,攻击者仍然无法在没有您的二级身份验证的情况下登录。
如果您管理Windows域,我们还建议您定期进行密码审核。我们的密码审核工具Papa现在可以检查各种格式的三个随机单词密码,并且现在我们花了几天的破解时间,仅对三个单词的密码进行破解。
