Como posso estimar o tempo que um determinado computador leva para adivinhar uma senha?

A resposta para "Posso estimar o tempo que um invasor com hardware conhecido específico levará para adivinhar uma senha com um algoritmo de hash conhecido?" é "você não pode".

Isso ocorre porque o hardware apenas fornece a velocidade máxima possível. Você pode olharoclHashcatpara alguns benchmarks.

No entanto, o software também avança, o que é crítico e imprevisível.

Mais importante ainda, depende inteiramente de uma combinação de como a senha é formulada e de como o invasor a ataca.

• Quase nenhum usuário usa senhas criptograficamente aleatórias longas, que só podem ser razoavelmente atacadas iniciando uma busca exaustiva no espaço de chaves, ou seja, umamáscara ou ataque de força bruta.

• A maioria dos usuários usa senhas muito ruins, que são extremamente vulneráveis ​​ahíbrido,dicionário baseado em regras,permutaçãoou outros ataques

• E aqueles que não são realmente ruins, mas não são criptograficamente aleatórios, ainda são vulneráveis ​​a menos do que o tempo de força bruta, dados os ataques de Markov e métodos avançados.dicionário baseado em regrasou ataques de máscara

• E para os fãs do XKCD, existemcombinadorataques, onde realmente depende da escolha das palavras... nas quais a maioria dos humanos é MUITO ruim.

  • Portanto, o invasor não está usando todas as palavras em inglês... ele está usando as 5.000 principais, ou três das 5.000 principais e uma das 20.000 principais, ou duas das 5.000 principais, um dos 5.000 principais verbos e assim por diante...

  • E dicionários de citações e versos famosos.

    • como parte de ataques baseados em regras.

• Ouataques de impressão digitalfuncionam bem em alguns padrões de uso.

Observe também que esses sites de "força de senha" quase nunca levam em consideração QUALQUER variante da lei de Moore, que na quebra de senha (uma operação ridiculamente paralelizável) está viva e bem, então quando dizem mil anos, eles se referem a hardware do mesmo preço em uma década e meia ou mais, sem fazer nada além de pesquisa exaustiva de espaço de chave, estúpida, cega e idiota, pura força bruta.

Experimente-as - todas essas são senhas HORRÍVEIS e inúteis:

• senha

  • "Instantaneamente" - ok, sempre que disserem que sua senha é incorreta,é mau.

• Senha

  • "Instantaneamente" - ok, sempre que disserem que sua senha é incorreta,é mau.

• Senha123

  • "412 anos" - Sério?

• P@$$w0rd123

  • "4 mil anos" - Sim, certo... falar em quase todas as suas formas é apenas mais um conjunto de regras

• Jennifer2007

  • “25 mil anos” - você está brincando, certo? O primeiro nome da outra pessoa/filha mais o ano em que se casaram/se conheceram/nasceram?

• B@$3b@111

  • "275 dias"... e é beisebol1 com leet speak, e nós cobrimos isso.

• Ursinho Pooh, Ursinho Pooh

  • "3 octilhões de anos" - e vem direto das regras jumbo padrão de John, o Estripador, em relação ao arquivo JtR password.lst padrão (patético).

• Ncc1701Ncc1701

  • “98 milhões de anos” – você está brincando, certo? Novamente, é direto das regras jumbo padrão de John, o Estripador, em relação ao arquivo JtR password.lst padrão (patético).

• a1b2c3123456

  • "37 anos" - e vem direto das regras jumbo padrão de John, o Estripador, em relação ao arquivo JtR password.lst padrão (patético).

• THunDeRBirD

  • "59 anos" - e vem direto das regras jumbo padrão de John, o Estripador, em relação ao arquivo JtR password.lst padrão (patético).

Veja também minha resposta paraDevo rejeitar senhas obviamente ruins?em security.stackexchange.com, que também cobre medidores de resistência e tempos de rachadura.

Você deveria tentar emhttps://security.stackexchange.com/, eles provavelmente serão mais adequados para ajudá-lo.

Mas, pelo que posso ver, é o número de combinações/cálculos + por segundo se a senha não estiver na lista ou algoritmos simples como x0=1;x1=X0+1;xn=x(n-1)+1.E parece que há um fator de tempo extra se usar letras que não sejam do inglês