A resposta para "Posso estimar o tempo que um invasor com hardware específico específico levará para adivinhar uma senha com um algoritmo de hash conhecido?" é "você não pode".
Isso ocorre porque o hardware simplesmente fornece a velocidade máxima possível. Você pode olhar para oclHashcat para alguns benchmarks.
No entanto, o software também faz avanços, o que é crítico e não previsível.
Mais importante, depende inteiramente de uma combinação de como a senha é formulada e como o invasor a ataca.
-
Quase nenhum usuário usa senhas criptograficamente longas e randômicas, que só podem ser razoavelmente atacadas ao iniciar uma pesquisa exaustiva no espaço de chaves, ou seja, um .
-
A maioria dos usuários usa senhas muito ruins, que são extremamente vulneráveis ao híbrido , dicionário baseado em regras , permutação ou outros ataques
-
E aqueles que não são realmente ruins, mas não são criptograficamente aleatórios, ainda são vulneráveis a menos do que o tempo de força bruta, dados os ataques de Markov e avançados dicionário baseado em regras ou ataques de máscaras
-
E para os fãs do XKCD, existem combinator ataques, onde isso realmente depende das escolhas de palavras. .. que a maioria dos seres humanos são realmente ruins.
-
Assim, o atacante não está usando todas as palavras em inglês ... eles estão usando o top 5000, ou três top 5000 e um top 20.000, ou dois top 5000, um top 5000 verbo e assim por diante. ..
-
E dicionários de citações e linhas famosas.
- como parte de ataques baseados em regras.
-
-
Ou ataques de impressão digital funcionam bem em alguns padrões de uso.
Note também que os sites de "força da senha" quase nunca levam em consideração QUALQUER variante da lei de Moore, que em quebra de senha (uma operação ridiculamente paralelizável) está viva e bem, então quando dizem mil anos, eles significam hardware do mesmo preço em uma década e meia ou assim fazendo nada, mas burro, cego, pura força bruta idiota exaustiva busca no espaço do teclado.
Experimentá-los - estas são todas as senhas inúteis sem valor HORRÍVEL:
-
senha
- "Instantaneamente" - ok, sempre que dizem que sua senha é ruim, é ruim .
-
Senha
- "Instantaneamente" - ok, sempre que dizem que sua senha é ruim, é ruim .
-
Senha123
- "412 anos" - Realmente?
-
P @ $$ w0rd123
- "4 mil anos" - Sim, certo ... leet falar em quase todas as suas formas é apenas mais um conjunto de regras
-
Jennifer2007
- "25 mil anos" - você está brincando, certo? O primeiro nome da outra pessoa / filha, mais o ano em que se casou / conheceu / nasceu?
-
B @ $ 3b @ 111
- "275 dias" ... e é baseball1 com leet speak, e nós cobrimos isso.
-
WinniethepoohWinniethepooh
- "3 octillion years" - e é direto das regras jumbo padrão de John the Ripper no arquivo password.lst padrão (patético) do JtR.
-
Ncc1701Ncc1701
- "98 milhões de anos" - você está brincando, certo? Mais uma vez, é direto das regras jumbo padrão do John the Ripper com o arquivo password.lst JtR padrão (patético).
-
a1b2c3123456
- "37 anos" - e é direto das regras jumbo padrão de John the Ripper no arquivo password.lst padrão (patético) do JtR.
-
TRIBUNAL
- "59 anos" - e é direto das regras jumbo padrão de John the Ripper no arquivo password.lst padrão (patético) do JtR.
Veja também minha resposta a Devo rejeitar senhas obviamente ruins? em security.stackexchange.com, que também abrange medidores de resistência e tempos de quebra.