특정 컴퓨터가 비밀번호를 추측하는 데 걸리는 시간을 어떻게 추정할 수 있나요?

tag-icon tag-icon security passwords brute-force
특정 컴퓨터가 비밀번호를 추측하는 데 걸리는 시간을 어떻게 추정할 수 있나요?

사이버 보안과 그 이용이 더욱 두드러지고 관련성이 높아짐에 따라 다음과 같은 웹사이트를 찾습니다.https://howsecureismypassword.net/매우 흥미롭습니다. 사용자가 암호를 입력하면 데스크톱 PC가 정확한 암호를 추측하는 데 필요한 예상 시간이 제공됩니다. 이번에는 빈도, 캐릭터 다양성, 단순성 등과 같은 여러 변수에 따라 결정된다는 것을 이해합니다.

그러한 시간을 추정하기 위해 거치는 과정을 자세히 설명하는 출처(강의, 책, 연설 등)를 찾는 데 매우 관심이 있습니다.

다른 유용한 아이디어로는 나와 내 컴퓨터가 이론적 비밀번호 추측 시간을 계산할 수 있게 해주는 일종의 공식이나 알고리즘이 있습니다.

그리고 충분한 하드웨어 지식을 가지고 내 질문을 보는 사람들을 위해 추정치는 기본적으로 프로세서의 주파수를 기반으로 구축되었습니까? 앞서 언급한 웹사이트는 데스크톱 PC를 기준으로 계산을 기반으로 하기 때문에 CPU와 관련이 있다고 가정할 수 있습니다.

따라서 누군가 가치 있는 소스, 공식, 알고리즘을 가지고 있다면 공유해 주세요. 당면한 질문과 관련이 있으면 투표하지 않겠습니다.

답변1

"알려진 특정 하드웨어를 사용하는 공격자가 알려진 해싱 알고리즘을 사용하여 비밀번호를 추측하는 데 걸리는 시간을 추정할 수 있습니까?"에 대한 답변 "당신은 할 수 없습니다"입니다.

이는 하드웨어가 단지 가능한 최대 속도를 제공하기 때문입니다. 당신은 볼 수 있습니다oclHashcat일부 벤치마크의 경우.

그러나 소프트웨어도 발전을 이루는데 이는 매우 중요하며 예측할 수 없습니다.

더 중요한 것은 비밀번호가 어떻게 구성되어 있는지와 공격자가 비밀번호를 공격하는 방법의 조합에 전적으로 달려 있다는 것입니다.

  • 암호학적으로 긴 무작위 비밀번호를 사용하는 사용자는 거의 없습니다. 이는 철저한 키스페이스 검색을 시작해야만 합리적으로 공격받을 수 있습니다.마스크 또는 무차별 대입 공격.

  • 대부분의 사용자는 매우 취약한 매우 잘못된 비밀번호를 사용합니다.잡종,규칙 기반 사전,순열, 또는 기타 공격

  • 그리고 실제로 나쁘지는 않지만 암호화된 무작위가 아닌 것들은 Markov 공격 및 고급 공격을 고려할 때 무차별 대입 시간보다 덜 취약합니다.규칙 기반 사전또는 마스크 공격

  • 그리고 XKCD 팬에게는 다음이 있습니다.결합자공격은 실제로 단어 선택에 달려 있습니다. 대부분의 인간은 정말 잘 못합니다.

    • 그래서 공격자는 모든 영어 단어를 사용하는 것이 아닙니다. 그들은 상위 5000개를 사용하거나 상위 5000개 3개와 상위 20,000개 1개, 또는 상위 5000개 2개, 상위 5000개 동사 1개 등을 사용하고 있습니다.

    • 그리고 유명한 인용문과 대사의 사전.

      • 규칙 기반 공격의 일부로.

  • 또는지문 공격일부 사용 패턴에서는 잘 작동합니다.

또한 이러한 "비밀번호 강도" 사이트는 비밀번호 크래킹(터무니없이 병렬화 가능한 작업)에서 무어의 법칙에 대한 어떠한 변형도 거의 고려하지 않는다는 점에 유의하십시오. 따라서 그들이 천 년이라고 말하는 것은 동일한 하드웨어를 의미합니다. 멍청하고, 맹목적이고, 멍청하고, 순수한 무차별 대입 철저한 키스페이스 검색 외에는 아무것도 하지 않고 10년 반 정도 만에 가격을 책정했습니다.

시도해 보세요. 모두 끔찍하고 쓸모없고 무의미한 비밀번호입니다.

  • 비밀번호

    • "즉시" - 좋습니다. 비밀번호가 잘못되었다고 말할 때마다그것은 나쁜.

  • 비밀번호

    • "즉시" - 좋습니다. 비밀번호가 잘못되었다고 말할 때마다그것은 나쁜.

  • 비밀번호123

    • "412년" - 정말요?

  • P@$$w0rd123

    • "4000년" - 예, 그렇죠... 거의 모든 형태로 말하는 것은 또 다른 규칙일 뿐입니다

  • 제니퍼2007

    • "25,000년" - 농담이시죠? 중요한 다른 사람/딸의 이름과 결혼/만난/태어난 연도?

  • B@$30억@111

    • "275일"... 그리고 리트가 말하는 야구1인데 그걸 다뤘습니다.

  • WinniethepoohWinniethepooh

    • "30억 년" - 이는 기본(애처로운) JtR Password.lst 파일에 대한 John the Ripper의 기본 점보 규칙에서 바로 나온 것입니다.

  • Ncc1701Ncc1701

    • "9800만년" - 농담이시죠? 다시 말하지만, 이는 기본(애처로운) JtR Password.lst 파일에 대한 John the Ripper의 기본 점보 규칙에서 바로 나온 것입니다.

  • a1b2c3123456

    • "37년" - 이는 기본(애처로운) JtR Password.lst 파일에 대한 John the Ripper의 기본 점보 규칙에서 바로 나온 것입니다.

  • 천둥새

    • "59년" - 이는 기본(한심한) JtR Password.lst 파일에 대한 John the Ripper의 기본 점보 규칙에서 바로 나온 것입니다.

내 답변도 참조하세요.분명히 잘못된 비밀번호를 거부해야 합니까?security.stackexchange.com에서 강도 측정기와 크래킹 시간도 다루고 있습니다.

답변2

당신은 시도해야https://security.stackexchange.com/, 그들은 아마도 당신을 더 잘 도와줄 것입니다.

하지만 내가 볼 수 있는 한 비밀번호가 목록에 없거나 간단한 알고리즘에 없는 경우 초당 조합/계산 횟수 + x0=1;x1=X0+1;xn=x(n-1)+1.영어가 아닌 문자를 사용하는 경우 추가 시간 요소가 있는 것 같습니다.

관련 정보