隨著網路安全及其利用變得更加突出和相關,我發現諸如https://howsecureismypassword.net/非常有趣。當使用者輸入密碼時,它會為他們提供桌上型電腦猜測確切密碼所需的估計時間。我知道這個時間是基於許多變量,例如頻率、字元多樣性、簡單性等。
我非常有興趣找到一個資料來源(講座、書籍、演講等)來詳細說明估計這一時間的過程。
其他有用的想法是某種公式或演算法,可以讓我(和我的計算機)計算理論上的密碼猜測時間。
對於那些具有足夠硬體知識來查看我的問題的人來說,估計值基本上是基於處理器的頻率嗎?由於上述網站的計算是基於桌上型電腦,因此假設它與 CPU 有關。
因此,如果有人有有價值的來源、公式或演算法,請分享。如果它與當前的問題相關,我不會投反對票。
答案1
“我能否估計使用特定已知硬體的攻擊者使用已知雜湊演算法猜測密碼所需的時間?”是「你不能」。
這是因為硬體僅提供最大可能的速度。你可以看看ocl哈希貓對於一些基準。
然而,該軟體也取得了進步,這是至關重要且不可預測的。
更重要的是,它完全取決於密碼的製定方式以及攻擊者如何攻擊它的組合。
幾乎沒有用戶使用長密碼隨機密碼,只能透過啟動詳盡的密鑰空間搜尋來合理地攻擊,即面具或暴力攻擊。
那些並不是很糟糕,但在加密上不是隨機的,考慮到馬可夫攻擊和先進的技術,仍然容易受到比暴力時間更短的攻擊。基於規則的字典或掩碼攻擊
對於 XKCD 粉絲來說,還有組合器攻擊,這實際上取決於單字的選擇……大多數人真的不擅長。
所以攻擊者並沒有使用每一個英語單字...他們使用的是前5000 個,或三個前5000 個和一個前20,000 個,或者兩個前5000 個,一個前5000 個動詞,等等.. .
還有著名名言和台詞的字典。
- 作為基於規則的攻擊的一部分。
或者指紋攻擊在某些使用模式下效果很好。
另請注意,那些「密碼強度」網站幾乎從不考慮摩爾定律的任何變體,摩爾定律在密碼破解(一種可笑的可並行操作)中仍然存在並且運作良好,因此當他們說一千年時,他們的意思是對於相同的硬體價格在十五年左右的時間裡除了愚蠢、盲目、白痴的純暴力窮舉鍵空間搜索之外什麼也沒做。
試試看 - 這些都是可怕的、毫無價值的、毫無意義的密碼:
密碼
- 「立即」 - 好吧,每當他們說你的密碼不好時,這不好。
密碼
- 「立即」 - 好吧,每當他們說你的密碼不好時,這不好。
密碼123
- 「412年」——真的嗎?
P@$$w0rd123
- 「四千年」 - 是的,對......利特幾乎以所有形式說話只是另一個規則集
詹妮弗2007
- 「25000年」——你在開玩笑吧?重要他人/女兒的名字加上他們結婚/相識/出生的年份?
B@$3b@111
- 「275 天」…這是 leet talk 的棒球1,我們對此進行了報道。
小熊維尼小熊維尼
- 「3 octillionyears」-它直接出自開膛手約翰針對預設(可悲的)JtRpassword.lst 檔案的預設巨型規則。
Ncc1701Ncc1701
- 「9800萬年」——你在開玩笑吧?同樣,它直接出自 John the Ripper 針對預設(可悲的)JtR password.lst 檔案的預設巨型規則。
a1b2c3123456
- 「37 年」——這直接出自開膛手約翰針對默認(可悲的)JtR password.lst 文件的默認巨型規則。
雷鳥
- 「59 年」 - 它直接出自開膛手約翰針對默認(可悲的)JtR password.lst 文件的默認巨型規則。
另請參閱我的回答我應該拒絕明顯不好的密碼嗎?在 security.stackexchange.com 上,其中還包括強度計和破解時間。
答案2
你應該嘗試https://security.stackexchange.com/,他們可能會更適合幫助您。
但據我所知,如果密碼不在列表中或簡單的演算法中,則每秒的組合/計算數+x0=1;x1=X0+1;xn=x(n-1)+1.如果使用非英文字母,則似乎有一個額外的時間因素