Wie kann ich die Zeit schätzen, die ein bestimmter Computer zum Erraten eines Passworts benötigt?

tag-icon tag-icon security passwords brute-force
Wie kann ich die Zeit schätzen, die ein bestimmter Computer zum Erraten eines Passworts benötigt?

Da Cybersicherheit und ihre Nutzung immer wichtiger und relevanter werden, finde ich Websites wiehttps://howsecureismypassword.net/sehr interessant zu sein. Wenn der Benutzer ein Passwort eingibt, wird ihm die geschätzte Zeit angezeigt, die ein Desktop-PC zum Erraten genau dieses Passworts benötigen würde. Ich verstehe, dass diese Zeit von einer Reihe von Variablen wie Häufigkeit, Zeichenvielfalt, Einfachheit usw. abhängt.

Ich wäre sehr daran interessiert, eine Quelle (Vorlesung, Buch, Rede usw.) zu finden, in der der Prozess zur Schätzung einer solchen Zeit detailliert beschrieben wird.

Andere hilfreiche Ideen wären eine Art Formel oder ein Algorithmus, der es mir (und meinem Computer) ermöglichen würde, eine theoretische Zeit zum Erraten eines Passworts zu berechnen.

Und für diejenigen, die meine Frage mit ausreichend Hardware-Kenntnissen lesen: Basiert die Schätzung grundsätzlich auf der Frequenz des Prozessors? Da die oben genannte Website ihre Berechnung auf einem Desktop-PC basiert, würde ich annehmen, dass es etwas mit der CPU zu tun hat.

Wenn also jemand eine brauchbare Quelle, Formel oder einen Algorithmus hat, teilen Sie ihn bitte mit. Ich werde nicht dagegen stimmen, wenn es für die vorliegende Frage relevant ist.

Antwort1

Die Antwort auf die Frage „Kann ich die Zeit schätzen, die ein Angreifer mit bestimmter bekannter Hardware braucht, um ein Kennwort mit einem bekannten Hash-Algorithmus zu erraten?“ lautet: „Das können Sie nicht.“

Dies liegt daran, dass die Hardware lediglich die maximal mögliche Geschwindigkeit bereitstellt. Sie können sich ansehenoclHashcatfür einige Benchmarks.

Allerdings macht auch die Software Fortschritte, was entscheidend und nicht vorhersehbar ist.

Wichtiger noch: Es hängt ganz von der Kombination aus Kennwortformulierung und Angriffsmethode des Angreifers ab.

  • Fast kein Benutzer verwendet lange kryptografisch zufällige Passwörter, die nur durch eine umfassende Schlüsselraumsuche, d. h. eineMaske oder Brute-Force-Angriff.

  • Die meisten Benutzer verwenden wirklich schlechte Passwörter, die extrem anfällig sind fürHybride,regelbasiertes Wörterbuch,Permutationoder andere Angriffe

  • Und diejenigen, die nicht wirklich schlecht sind, aber nicht kryptografisch zufällig sind, sind immer noch anfällig für weniger als Brute-Force-Zeit angesichts Markov-Angriffe und fortgeschritteneregelbasiertes Wörterbuchoder Angriffe maskieren

  • Und für XKCD-Fans gibt esKombinatorAngriffe, bei denen es wirklich auf die Wortwahl ankommt … was den meisten Menschen WIRKLICH schlecht gelingt.

    • Der Angreifer verwendet also nicht jedes englische Wort, sondern die Top 5000 oder drei Top 5000 und ein Top 20.000 oder zwei Top 5000, ein Top 5000-Verb und so weiter …

    • Und Wörterbücher mit berühmten Zitaten und Sprüchen.

      • als Teil regelbasierter Angriffe.

  • OderFingerabdruck-Angriffefunktionieren bei einigen Nutzungsmustern gut.

Beachten Sie auch, dass diese Websites zur „Passwortstärke“ fast nie IRGENDEINE Variante des Mooreschen Gesetzes berücksichtigen, das beim Knacken von Passwörtern (einer lächerlich parallelisierbaren Operation) noch immer lebendig ist. Wenn sie also von tausend Jahren sprechen, meinen sie damit für Hardware zum gleichen Preis etwa anderthalb Jahrzehnte, in denen nichts weiter getan wird als dumme, blinde, idiotische, reine Brute-Force-Durchsuchung des Schlüsselraums.

Probieren Sie sie aus – das sind alles SCHRECKLICHE, wertlose und sinnlose Passwörter:

  • Passwort

    • "Sofort" - ok, wenn sie sagen, Ihr Passwort sei falsch,es ist schlecht.

  • Passwort

    • "Sofort" - ok, wenn sie sagen, Ihr Passwort sei falsch,es ist schlecht.

  • Passwort123

    • „412 Jahre“ – Wirklich?

  • P@$$w0rd123

    • "4.000 Jahre" - Ja, genau ... Leet Speak in fast allen seinen Formen ist nur ein weiterer Regelsatz

  • Jennifer2007

    • „25.000 Jahre“ – das ist ein Witz, oder? Der Vorname des Lebensgefährten/der Tochter plus das Jahr der Heirat/Kennenlernen/Geburt?

  • B@$3b@111

    • „275 Tage“ … und es ist Baseball1 mit Leet-Speak, und wir haben das behandelt.

  • Winnie Puuh, Winnie Puuh

    • „3 Oktillionen Jahre“ – und das stammt direkt aus den Jumbo-Standardregeln von John the Ripper für die (erbärmliche) Standarddatei password.lst von JtR.

  • Ncc1701Ncc1701

    • „98 Millionen Jahre“ – das ist ein Witz, oder? Auch hier handelt es sich um eine direkte Entnahme aus John the Rippers Standard-Jumbo-Regeln für die (erbärmliche) Standard-JtR-Datei password.lst.

  • a1b2c3123456

    • „37 Jahre“ – und es stammt direkt aus John the Rippers Jumbo-Standardregeln für die (erbärmliche) JtR-Datei password.lst.

  • THUNDERBIrD

    • „59 Jahre“ – und es stammt direkt aus den Jumbo-Standardregeln von John the Ripper für die (erbärmliche) Standarddatei password.lst von JtR.

Siehe auch meine Antwort aufSollte ich offensichtlich schlechte Passwörter ablehnen?auf security.stackexchange.com, wo auch Stärkemesser und Knackzeiten behandelt werden.

Antwort2

Versuchen Sie es beihttps://security.stackexchange.com/, sie können Ihnen wahrscheinlich besser helfen.

Aber soweit ich es sehe, ist es die Anzahl der Kombinationen/Berechnungen + pro Sekunde, wenn das Passwort nicht auf der Liste steht oder einfache Algorithmen wie x0=1;x1=X0+1;xn=x(n-1)+1.Und es scheint, dass es einen zusätzlichen Zeitfaktor gibt, wenn nicht-englische Buchstaben verwendet werden

verwandte Informationen