¿Cómo puedo estimar el tiempo que le toma a una determinada computadora adivinar una contraseña?

tag-icon tag-icon security passwords brute-force
¿Cómo puedo estimar el tiempo que le toma a una determinada computadora adivinar una contraseña?

A medida que la seguridad cibernética y su explotación se vuelven más prominentes y relevantes, encuentro sitios web comohttps://howsecureismypassword.net/ser muy interesante. Cuando el usuario ingresa una contraseña, se le proporciona un tiempo estimado que una PC de escritorio necesitaría para adivinar esa contraseña exacta. Entiendo que este tiempo se basa en una serie de variables como la frecuencia, la diversidad de caracteres, la simplicidad, etc.

Me interesaría mucho encontrar una fuente (conferencia, libro, discurso, etc.) que detalle el proceso por el que se pasaría para estimar ese tiempo.

Otras ideas útiles serían algún tipo de fórmula o algoritmo que me permitiera a mí (y a mi computadora) calcular un tiempo teórico para adivinar la contraseña.

Y para aquellos que ven mi pregunta con suficiente conocimiento de hardware, ¿la estimación se basa fundamentalmente en la frecuencia del procesador? Dado que el sitio web antes mencionado basa sus cálculos en una PC de escritorio, asumiría que tiene algo que ver con la CPU.

Entonces, si alguien tiene una fuente, fórmula o algoritmo valioso, compártalo. No votaré en contra si es relevante para la pregunta en cuestión.

Respuesta1

La respuesta a "¿Puedo estimar el tiempo que tardará un atacante con un hardware conocido específico en adivinar una contraseña con un algoritmo hash conocido?" es "no puedes".

Esto se debe a que el hardware simplemente proporciona la máxima velocidad posible. puedes miraroclHashcatpara algunos puntos de referencia.

Sin embargo, el software también avanza, lo cual es crítico y no predecible.

Más importante aún, depende completamente de una combinación de cómo se formula la contraseña y cómo la ataca el atacante.

  • Casi ningún usuario utiliza contraseñas criptográficamente aleatorias largas, que sólo pueden atacarse razonablemente iniciando una búsqueda exhaustiva del espacio de claves, es decir, unaataque con máscara o fuerza bruta.

  • La mayoría de los usuarios utilizan contraseñas realmente malas, que son extremadamente vulnerables ahíbrido,diccionario basado en reglas,permutaciónu otros ataques

  • Y aquellos que no son realmente malos, pero que no son criptográficamente aleatorios, aún son vulnerables a menos tiempo que la fuerza bruta dados los ataques de Markov y los ataques avanzados.diccionario basado en reglaso enmascarar ataques

  • Y para los fanáticos de XKCD, haycombinadorataques, donde realmente depende de la elección de palabras... en lo que la mayoría de los humanos son REALMENTE malos.

    • Así que el atacante no está usando todas las palabras en inglés... está usando las 5000 principales, o tres 5000 principales y una 20 000 principales, o dos 5000 principales, un verbo de 5000 principales, y así sucesivamente...

    • Y diccionarios de citas y frases célebres.

      • como parte de ataques basados ​​en reglas.

  • Oataques de huellas dactilaresFunciona bien en algunos patrones de uso.

Tenga en cuenta también que esos sitios de "seguridad de contraseña" casi nunca toman en consideración CUALQUIER variante de la ley de Moore, que al descifrar contraseñas (una operación ridículamente paralelizable) está viva y coleando, por lo que cuando dicen mil años, se refieren a hardware del mismo precio en una década y media más o menos sin hacer nada más que una búsqueda exhaustiva de espacio de claves tonta, ciega e idiota por pura fuerza bruta.

Pruébelas: todas estas son contraseñas HORRIBLES, inútiles y sin sentido:

  • contraseña

    • "Al instante" - ok, siempre que digan que tu contraseña es incorrecta,es malo.

  • Contraseña

    • "Al instante" - ok, siempre que digan que tu contraseña es incorrecta,es malo.

  • Contraseña123

    • "412 años" - ¿En serio?

  • P@$$w0rd123

    • "4 mil años" - Sí, claro... hablar en casi todas sus formas es solo otro conjunto de reglas.

  • Jennifer2007

    • "25 mil años" - estás bromeando, ¿verdad? ¿El nombre de la pareja/hija más el año en que se casaron/conocieron/nacieron?

  • B@$3b@111

    • "275 días"... y es béisbol1 con leet talk, y lo cubrimos.

  • WinniethepoohWinniethepooh

    • "3 octillones de años", y está sacado directamente de las reglas gigantes predeterminadas de John el Destripador contra el archivo predeterminado (patético) JtR contraseña.lst.

  • Ncc1701Ncc1701

    • "98 millones de años" - estás bromeando, ¿verdad? Nuevamente, está sacado directamente de las reglas gigantes predeterminadas de John el Destripador contra el (patético) archivo JtR contraseña.lst predeterminado.

  • a1b2c3123456

    • "37 años" - y está sacado directamente de las reglas gigantes predeterminadas de John el Destripador contra el (patético) archivo JtR contraseña.lst predeterminado.

  • trueno

    • "59 años" - y está sacado directamente de las reglas gigantes predeterminadas de John el Destripador contra el (patético) archivo JtR contraseña.lst predeterminado.

Vea también mi respuesta a¿Debo rechazar contraseñas obviamente deficientes?en security.stackexchange.com, que también cubre medidores de fuerza y ​​tiempos de craqueo.

Respuesta2

Deberías intentarlo enhttps://security.stackexchange.com/, probablemente serán más adecuados para ayudarte.

Pero hasta donde puedo ver, es el número de combinaciones/cálculos + por segundo si la contraseña no está en la lista o un algoritmo simple como x0=1;x1=X0+1;xn=x(n-1)+1.Y parece que hay un factor de tiempo adicional si se usan letras que no están en inglés.

información relacionada