Как оценить время, необходимое определенному компьютеру для подбора пароля?

Question 1

Ответ на вопрос «Могу ли я оценить время, которое потребуется злоумышленнику с определенным известным оборудованием, чтобы подобрать пароль с известным алгоритмом хеширования?» — «невозможно».

Это потому, что аппаратное обеспечение просто обеспечивает максимально возможную скорость. Вы можете посмотреть наoclHashcatдля некоторых контрольных показателей.

Однако программное обеспечение также совершенствуется, что имеет решающее значение и непредсказуемо.

Что еще важнее, это полностью зависит от сочетания того, как сформулирован пароль и как злоумышленник его атакует.

Почти никто из пользователей не использует длинные криптографически случайные пароли, которые можно разумно взломать, только начав исчерпывающий поиск по пространству ключей, т. е.атака по маске или грубой силе.
Большинство пользователей используют действительно плохие пароли, которые чрезвычайно уязвимы длягибридный,словарь, основанный на правилах,перестановкаили другие атаки
А те, которые не так уж плохи, но не являются криптографически случайными, все равно уязвимы для времени, меньшего, чем время перебора, учитывая атаки Маркова и продвинутые методы.словарь, основанный на правилахили маскировать атаки
А для фанатов XKCD естькомбинаторатаки, где все действительно зависит от выбора слов... с чем большинство людей ДЕЙСТВИТЕЛЬНО не справляются.
- Итак, злоумышленник не использует каждое английское слово... он использует 5000 самых популярных слов, или три из 5000 самых популярных слов и одно из 20 000 самых популярных слов, или два из 5000 самых популярных слов, один глагол из 5000 самых популярных слов и так далее...
- И словари известных цитат и фраз.
  - как часть атак на основе правил.
Илиатаки с использованием отпечатков пальцевхорошо работают при некоторых моделях использования.

Обратите внимание также, что эти сайты о «надежности паролей» почти никогда не принимают во внимание НИКАКИЕ варианты закона Мура, который при взломе паролей (до смешного распараллеливаемой операции) жив и здоров, поэтому, когда они говорят тысячу лет, они имеют в виду, что для оборудования той же цены в течение полутора десятилетий или около того ничего не будет, кроме тупого, слепого, идиотского чисто грубого перебора с полным перебором пространства ключей.

Попробуйте их — все это УЖАСНЫЕ, бесполезные и бессмысленные пароли:

пароль
- «Мгновенно» — хорошо, когда они говорят, что ваш пароль плохой,это плохо.
Пароль
- «Мгновенно» — хорошо, когда они говорят, что ваш пароль плохой,это плохо.
Пароль123
- «412 лет» — Серьёзно?
П@$$w0rd123
- "4 тысячи лет" - Да, конечно... Leet Speak почти во всех своих формах - это просто еще один набор правил.
Дженнифер2007
- "25 тысяч лет" - вы шутите, да? Имя близкого человека/дочери плюс год их свадьбы/встречи/рождения?
B@$3b@111
- «275 дней»... и это baseball1 с leet speak, и мы это освещали.
Винни-ПухВинни-Пух
- «3 октиллиона лет» — и это прямо из гигантских правил Джона Потрошителя по умолчанию против (жалкого) файла пароля JtR.lst по умолчанию.
Ncc1701Ncc1701
- "98 миллионов лет" - вы шутите, да? Опять же, это прямо из стандартных правил Джона Потрошителя против стандартного (жалкого) файла JtR password.lst.
а1б2с3123456
- «37 лет» — и это прямо из гигантских правил Джона Потрошителя по умолчанию против (жалкого) файла пароля JtR.lst.
THUNDERBirD
- «59 лет» — и это прямо из гигантских правил Джона Потрошителя по умолчанию против стандартного (жалкого) файла пароля JtR.lst.

См. также мой ответ наСтоит ли отклонять явно ненадежные пароли?на security.stackexchange.com, где также представлены данные об измерителях прочности и времени взлома.

Answer

Ответ на вопрос «Могу ли я оценить время, которое потребуется злоумышленнику с определенным известным оборудованием, чтобы подобрать пароль с известным алгоритмом хеширования?» — «невозможно».

Это потому, что аппаратное обеспечение просто обеспечивает максимально возможную скорость. Вы можете посмотреть наoclHashcatдля некоторых контрольных показателей.

Однако программное обеспечение также совершенствуется, что имеет решающее значение и непредсказуемо.

Что еще важнее, это полностью зависит от сочетания того, как сформулирован пароль и как злоумышленник его атакует.

Почти никто из пользователей не использует длинные криптографически случайные пароли, которые можно разумно взломать, только начав исчерпывающий поиск по пространству ключей, т. е.атака по маске или грубой силе.
Большинство пользователей используют действительно плохие пароли, которые чрезвычайно уязвимы длягибридный,словарь, основанный на правилах,перестановкаили другие атаки
А те, которые не так уж плохи, но не являются криптографически случайными, все равно уязвимы для времени, меньшего, чем время перебора, учитывая атаки Маркова и продвинутые методы.словарь, основанный на правилахили маскировать атаки
А для фанатов XKCD естькомбинаторатаки, где все действительно зависит от выбора слов... с чем большинство людей ДЕЙСТВИТЕЛЬНО не справляются.
- Итак, злоумышленник не использует каждое английское слово... он использует 5000 самых популярных слов, или три из 5000 самых популярных слов и одно из 20 000 самых популярных слов, или два из 5000 самых популярных слов, один глагол из 5000 самых популярных слов и так далее...
- И словари известных цитат и фраз.
  - как часть атак на основе правил.
Илиатаки с использованием отпечатков пальцевхорошо работают при некоторых моделях использования.

Обратите внимание также, что эти сайты о «надежности паролей» почти никогда не принимают во внимание НИКАКИЕ варианты закона Мура, который при взломе паролей (до смешного распараллеливаемой операции) жив и здоров, поэтому, когда они говорят тысячу лет, они имеют в виду, что для оборудования той же цены в течение полутора десятилетий или около того ничего не будет, кроме тупого, слепого, идиотского чисто грубого перебора с полным перебором пространства ключей.

Попробуйте их — все это УЖАСНЫЕ, бесполезные и бессмысленные пароли:

пароль
- «Мгновенно» — хорошо, когда они говорят, что ваш пароль плохой,это плохо.
Пароль
- «Мгновенно» — хорошо, когда они говорят, что ваш пароль плохой,это плохо.
Пароль123
- «412 лет» — Серьёзно?
П@$$w0rd123
- "4 тысячи лет" - Да, конечно... Leet Speak почти во всех своих формах - это просто еще один набор правил.
Дженнифер2007
- "25 тысяч лет" - вы шутите, да? Имя близкого человека/дочери плюс год их свадьбы/встречи/рождения?
B@$3b@111
- «275 дней»... и это baseball1 с leet speak, и мы это освещали.
Винни-ПухВинни-Пух
- «3 октиллиона лет» — и это прямо из гигантских правил Джона Потрошителя по умолчанию против (жалкого) файла пароля JtR.lst по умолчанию.
Ncc1701Ncc1701
- "98 миллионов лет" - вы шутите, да? Опять же, это прямо из стандартных правил Джона Потрошителя против стандартного (жалкого) файла JtR password.lst.
а1б2с3123456
- «37 лет» — и это прямо из гигантских правил Джона Потрошителя по умолчанию против (жалкого) файла пароля JtR.lst.
THUNDERBirD
- «59 лет» — и это прямо из гигантских правил Джона Потрошителя по умолчанию против стандартного (жалкого) файла пароля JtR.lst.

См. также мой ответ наСтоит ли отклонять явно ненадежные пароли?на security.stackexchange.com, где также представлены данные об измерителях прочности и времени взлома.

Question 2

Вам следует попробоватьhttps://security.stackexchange.com/, они, вероятно, окажутся более подходящими, чтобы помочь вам.

Но насколько я могу судить, это количество комбинаций/вычислений + в секунду, если пароля нет в списке, или простой алгоритм вроде того. x0=1;x1=X0+1;xn=x(n-1)+1.И, похоже, есть дополнительный фактор времени, если используются неанглийские буквы.

Answer

Вам следует попробоватьhttps://security.stackexchange.com/, они, вероятно, окажутся более подходящими, чтобы помочь вам.

Но насколько я могу судить, это количество комбинаций/вычислений + в секунду, если пароля нет в списке, или простой алгоритм вроде того. x0=1;x1=X0+1;xn=x(n-1)+1.И, похоже, есть дополнительный фактор времени, если используются неанглийские буквы.

Как оценить время, необходимое определенному компьютеру для подбора пароля?

решение1

решение2

Связанный контент