Se o invasor puder obter acesso ao hash de senha, geralmente é muito fácil forçar a força bruta, já que isso simplesmente envolve a conversão de senhas até que os hashes coincidam.
A "força" do hash depende de como a senha é armazenada. Um hash MD5 pode levar menos tempo para gerar um hash SHA-512.
O Windows usava (e ainda não sei) o armazenamento de senhas em um formato de hash LM, que usava letras maiúsculas e dividia-as em dois blocos de 7 caracteres que eram então hash. Se você tivesse uma senha de 15 caracteres, não importaria, porque ela armazenava apenas os 14 primeiros caracteres, e era fácil forçar a força bruta, porque você não era brutal, forçando uma senha de 14 caracteres, você foi brutal forçando duas senhas de 7 caracteres. / p>
Se você sentir necessidade, baixe um programa como John The Ripper ou Cain & Abel (links retidos) e testá-lo.
Eu me lembro de ser capaz de gerar 200.000 hashes por segundo para um hash LM. Dependendo de como o Truecrypt armazena o hash, e se ele puder ser recuperado de um volume bloqueado, pode levar mais ou menos tempo.
Os ataques de força bruta costumam ser usados quando o atacante tem um grande número de hashes para passar. Depois de percorrer um dicionário comum, eles geralmente iniciam a remoção de senhas com ataques de força bruta comuns. Senhas numeradas até dez, símbolos alfa e numéricos, alfanuméricos e comuns estendidos, símbolos alfanuméricos e estendidos. Dependendo do objetivo do ataque, ele pode levar a taxas de sucesso variáveis. A tentativa de comprometer a segurança de uma conta em particular muitas vezes não é o objetivo.