特定のコンピュータがパスワードを推測するのにかかる時間をどのように見積もることができますか?

Question 1

「特定の既知のハードウェアを持つ攻撃者が、既知のハッシュアルゴリズムを使用してパスワードを推測するのにかかる時間を推定できますか?」という質問に対する答えは、「できません」です。

これはハードウェアが単に最大速度を提供しているだけだからです。oclハッシュキャットいくつかのベンチマーク用。

しかし、ソフトウェアも進歩しており、これは重要かつ予測不可能なことです。

さらに重要なのは、パスワードがどのように作成されるかと攻撃者がそれを攻撃する方法の組み合わせに完全に依存するということです。

暗号的にランダムな長いパスワードを使用するユーザーはほとんどいません。このパスワードは、網羅的なキー空間検索、つまりマスク攻撃またはブルートフォース攻撃。
ほとんどのユーザーは、非常に脆弱なパスワードを使用しています。ハイブリッド、ルールベースの辞書、順列、またはその他の攻撃
そして、それほど悪くはないが暗号的にランダムではないものは、マルコフ攻撃や高度な攻撃を考えると、ブルートフォース攻撃よりも短時間で脆弱である。ルールベースの辞書またはマスク攻撃
XKCDファンにはコンビネータ攻撃は言葉の選択に大きく左右されますが、ほとんどの人間はそれが本当に苦手です。
- つまり、攻撃者はすべての英語の単語を使用しているわけではなく、上位 5,000 語を使用しているか、上位 5,000 語のうち 3 つと上位 20,000 語のうち 1 つを使用しているか、上位 5,000 語のうち 2 つと上位 5,000 語のうち 1 つの動詞を使用している、などです。
- 有名な引用や名言の辞書もあります。
  - ルールベースの攻撃の一環として。
または指紋攻撃いくつかの使用パターンではうまく機能します。

また、これらの「パスワードの強度」サイトでは、パスワードクラッキング (途方もなく並列化可能な操作) では健在であるムーアの法則のいかなるバリエーションもほとんど考慮されていないことにも注意してください。したがって、彼らが 1000 年と言うとき、それは、同じ価格のハードウェアで、15 年ほどで、愚かで盲目で馬鹿げた純粋なブルートフォースによる徹底的なキースペース検索だけを行うことを意味しています。

試してみてください。これらはすべて、ひどく価値のない無意味なパスワードです。

パスワード
- 「即座に」 - パスワードが間違っていると言われたら、これは悪いです。
パスワード
- 「即座に」 - パスワードが間違っていると言われたら、これは悪いです。
パスワード123
- 「412年」 - 本当ですか?
ぱ@$$w0rd123
- 「4000年」 - そうだね... リート語のほとんどすべての形態は単なる別のルールセットだ
ジェニファー2007
- 「25000年」って、冗談でしょ？恋人や娘の名前と、結婚した年、出会った年、生まれた年を足して？
B@$3b@111
- 「275日」...それはリート語のbaseball1で、私たちはそれをカバーしました。
くまのプーさんくまのプーさん
- 「3 十兆年」 - これは、デフォルトの (哀れな) JtR password.lst ファイルに対する John the Ripper のデフォルトのジャンボルールからそのまま引用したものです。
Ncc1701Ncc1701
- 「9800 万年」 - 冗談ですよね? 繰り返しますが、これはデフォルトの (哀れな) JtR password.lst ファイルに対する John the Ripper のデフォルトのジャンボルールからそのまま引用したものです。
a1b2c3123456
- 「37 年」 - これは、デフォルトの (哀れな) JtR password.lst ファイルに対する John the Ripper のデフォルトのジャンボルールからそのまま引用したものです。
サンダーバード
- 「59 年」 - これは、デフォルトの (哀れな) JtR password.lst ファイルに対する John the Ripper のデフォルトのジャンボルールからそのまま引用したものです。

私の回答もご覧ください明らかに弱いパスワードを拒否すべきでしょうか?security.stackexchange.com では、強度メーターやクラッキング時間もカバーされています。

Answer