2

パスワードを強化せずに、ブルート フォース攻撃に対して aes 暗号化を強化する方法はありますか。つまり、ユーザーは一般的に簡単なパスワードを選択します。ますます複雑なパスワードをユーザーに選択させたくありません。 (これは正しい解決策ですが、パスワードを継続的に忘れてしまい、パスワードを使用できなくなると役に立たなくなります) ユーザーは大文字、小文字、数字からパスワードを選択します。 . パスワードの長さは 8 です。これらのパスワード プロパティを変更せずにブルート フォース攻撃を困難にしたいと考えています。

編集: パスワードの長さは正確に 8 です。これより短い長さは受け入れられません。返信に関するもう 1 つの質問は、暗号化されたテキストをメモリに保持すること (ソルティングとキー ストレッチングを使用) はセキュリティ上の問題ですか?

4

4 に答える 4

3

私はそれを言いたくなります:いいえ、それは不可能です。ブルートフォース攻撃をより困難にするには、より多くのエントロピーが必要です。

そうは言っても、キーストレッチを行うと、実際に推測プロセスを遅くすることができます。

于 2012-08-15T06:54:11.153 に答える
2

問題がどのように使用されているかを正確に知らずに、問題についてコメントするのは困難です。(たとえば、パスワードは8文字でしか保存できませんか?)

とはいえ、良い塩を選ぶと、ブルートフォースが難しくなります。今日盗まれたパスワードのほとんどは、適切なソルティングの実装に失敗した結果です。

セキュリティを強化するために、コンシステントハッシュ法を使用して、値の範囲でソルトをシャーディングできます。

于 2012-08-15T07:00:03.383 に答える
1

「password」、「12345678」などのパスワードを使用しないようにユーザーを保護したい場合は、ユーザーを強化する方法はありません。

提供されたパスワードが妥当な時間内に(つまり、平均的なハードウェアで1秒未満)持っているハッシュと一致するかどうかを確認できる必要があります。ハッシュとパスワードの同等性をチェックするのに1秒かかる場合でも、ブルートフォース攻撃で単純なパスワードを強制するのは、平均的なPCでは1日もかかりません。

平均的な品質のパスワード(最も一般的なパスワードのトップ1000や、最も一般的に話されているいくつかの言語の1つの単語ではない)を保護したい場合は、パスワード/キーストレッチが最善の策です。scrypt、bcrypt、または標準のPBKDF2が適しています。

于 2012-08-19T01:23:01.660 に答える
0

複数のラウンドを使用すると、パスワードを試すプロセスが遅くなりますが、それは私が考えることができるすべてです.

于 2012-08-15T14:42:37.543 に答える