mboost-dp1

Flickr - Mirko Macari

iPhonekodeord på 11 cifre kan beskytte mod ‘brute force’-metoden

- , indsendt af _tweak

I debatten om FBIs krav til Apple om en bagdør til én specifik iPhone, har Apple og mange iPhone-brugere udvist bekymring omkring misbrug.

FBI vil deaktivere begrænsningen af kodeordsforsøg på enheden, så de vha. ‘brute force’ kan afprøve alle kodeordskombinationer hurtigere.

iPhones bruger 80 millisekunder på at teste, om et kodeord matcher, hvilket kun tillader test af 12,5 kodeord i sekundet. Desuden gør iPhones Unique ID (UID) indlejret i hardwaren, at forsøgene skal udføres på selve enheden. Det er f.eks. ikke er muligt at få en supercomputer til at udføre testen hurtigere.

Dette betyder, at selvom FBI får en mulighed for at gå uden om tidslåsen, vil det stadig være en langsommelig proces for dem at teste lange kodeord.

Ifølge ‘The Intercept’ er den bedste løsning at generere et tilfældigt 11-cifret kodeord. Med hastigheden og kombinationsmulighederne for 11 cifre tager det 253 år at teste alle mulige kodeord, mens det gennemsnitligt vil tage 127 år at finde det korrekte kodeord.

Det 11-cifrede kodeord er kun effektivt, hvis det er helt tilfældigt og ikke sammensat af datoer eller andet, som andre vil kunne regne sig frem til ved at kende til personen.

Så lang tid tager det at knække forskellige kodeordslængder:

Seks-cifre: Op til 22 timer – gennemsnitligt 11 timer
Syv-cifre: Op til 9,2 dage – gennemsnitligt 4,6 dage
Otte-cifre: Op til tre måneder – gennemsnitligt 46 dage
Ni-cifre: Op til 2,5 år – gennemsnitligt 1,2 år
10-cifre: Op til 25 år – gennemsnitligt 12,6 år
11-cifre: Op til 253 år – gennemsnitligt 127 år
12-cifre: Op til 2.536 år – gennemsnitligt 1.268 år
13-cifre: Op til 25.367 år – gennemsnitligt 12.683 år





Gå til bund
Gravatar #1 - Fjolle
19. feb. 2016 13:15
Man kan også bruge en alfanumerisk kode, der vil mangedoble antallet af kodeord de skal prøve.
Gravatar #2 - T_A
19. feb. 2016 22:10
Kan forstå at Apple sikre mod at hukommelses-chippen flyttes over på en anden enhed og aflæses.
Men kan CIA ikke lave en virtuel iPhone hardware, hvor de selv kan indtaste den ønskede UID?

På den måde kan de benytte hastigheden af deres supercomputer til at brute-force pin koden.
Gravatar #3 - Bastardo
21. feb. 2016 08:55
Kan det virkelig passe at gennemsnittet er halvdelen af tiden for alle kombinationer? Den tester vel ikke random??
Gravatar #4 - TrolleRolle
21. feb. 2016 10:05
Bastardo (3) skrev:
Kan det virkelig passe at gennemsnittet er halvdelen af tiden for alle kombinationer? Den tester vel ikke random??


Det er jo netop GENNEMSNIT. Det vil altid være "halvdelen af tiden". Du kan nemt selv gennemskue det således:

Del 1:
Tænk på at dig og din ven leger "gæt et bogstav" ud af hele alfabetet. Denne lille leg leger du så masser af gange. Din ven er lidt kedelig og spørger altid fra A - Å i rækkefølge.

Nogle gange vil du tænke på A, og det er det første din ven foreslår. Her gik det hurtigt.
Andre gange tænker du på Å, og så er det det sidste din ven spørger om. Det siger sig selv at han halvdelen af tiden vil dit bogstav være i første halvdel af alfabetet, og den anden halvdel vil være i den sidste halvdel. I gennemsnit vil din ven altså gætte det på den halve tid.

Del 2:
Det er dog faktisk ligegyldigt om din ven er kedelig eller ej. Selv hvis han vælger sine bogstaver tilfældigt, giver det samme sansynlighed for at han gætter det. Alfabetets rækkefølge er nemlig komplet ligegyldig, og har ingen indvirkning på hvor hurtigt det går. Det siger sig selv at hvis du vælger et bogstav, så er det ligemeget hvad din ven foreslår, så er sansynligheden for at dit bogstav ligger i "den anden halvdel", lige stor.

Kort sagt: Nogle gange gætter man det efter få forsøg, men lige så tit skal man gennem næsten dem alle før man gætter rigtigt. Derfor er "gennemsnittet for hvor lang tid det tager" = halvdelen af tiden.
Gravatar #5 - fennec
21. feb. 2016 12:51
Det interessante er vel hvordan brute force løkken er lavet?

de er nød til at have en eller anden for for løkke der løber fra f.eks. a-z. Denne løkke er højest sansynelig optimeret med en ordrække der skal afprøves først, for at optimerer sandsynligheden for at de rammer i første halvdel.

Men hvis man har et random kodeord, vil man så ikke forbedre sine chancer ved at starte sin kode med "Z". Da den så vil ligge i den sidste halvdel, og derved vil tage længst tid?

Omvendt vil en kode der starter med "a" være et dårlig valg...
Gravatar #6 - Jim Night
21. feb. 2016 20:20
fennec (5) skrev:
Det interessante er vel hvordan brute force løkken er lavet?

de er nød til at have en eller anden for for løkke der løber fra f.eks. a-z. Denne løkke er højest sansynelig optimeret med en ordrække der skal afprøves først, for at optimerer sandsynligheden for at de rammer i første halvdel.

Men hvis man har et random kodeord, vil man så ikke forbedre sine chancer ved at starte sin kode med "Z". Da den så vil ligge i den sidste halvdel, og derved vil tage længst tid?

Omvendt vil en kode der starter med "a" være et dårlig valg...


Ifølge den logik er koden 'zzzzzz' bedre end 'aaaaaa'. Kan det nu også passe?
Gravatar #7 - Useful
21. feb. 2016 20:28
Jim Night (6) skrev:


Ifølge den logik er koden 'zzzzzz' bedre end 'aaaaaa'. Kan det nu også passe?


Alle ved da at man bruteforcer ved at skrive:

AAAAAA
AAAAAB
AAAAAC
AAAAAD

så zzzzzz er det absolut bedste password.
Gravatar #8 - ShamblerDK
22. feb. 2016 21:21
Jeg brugte engang CUDA til at dekode mit 7-cifrede Windows password. Det tog mindre end ét sekund og det var en blanding af bogstaver og tal. Dette var dog gjort ud fra en NTLM password hash men dog ikke med et rainbow table.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login