Como posso estimar o tempo que um computador leva para adivinhar uma senha?

Navegue suas respostas
0

À medida que a segurança cibernética e sua exploração se tornam mais proeminentes e relevantes, acho que sites como o link são muito interessantes. Quando o usuário digita uma senha, ele fornece um tempo estimado que um PC de mesa precisaria para adivinhar essa senha exata. Eu entendo que este tempo é baseado em um número de variáveis, como frequência, diversidade de caracteres, simplicidade, etc.

Eu estaria muito interessado em encontrar uma fonte (palestra, livro, discurso, etc.) detalhando o processo que se passaria para estimar esse tempo.

Outras ideias úteis seriam algum tipo de fórmula ou algoritmo que permitiria que eu (e meu computador) calculássemos um tempo teórico de adivinhação de senha.

E para aqueles que visualizam minha pergunta com um conhecimento suficiente de hardware, a estimativa é fundamentalmente baseada na freqüência do processador? Como o site acima baseia seu cálculo em um PC de mesa, suponha que tenha algo a ver com a CPU.

Então, se alguém tiver uma fonte, uma fórmula ou um algoritmo válido, compartilhe-a. Eu não vou votar se for relevante para a questão em questão.

    
por Thomas Gerot 03.02.2016 / 08:59

2 respostas

1

A resposta para "Posso estimar o tempo que um invasor com hardware específico específico levará para adivinhar uma senha com um algoritmo de hash conhecido?" é "você não pode".

Isso ocorre porque o hardware simplesmente fornece a velocidade máxima possível. Você pode olhar para oclHashcat para alguns benchmarks.

No entanto, o software também faz avanços, o que é crítico e não previsível.

Mais importante, depende inteiramente de uma combinação de como a senha é formulada e como o invasor a ataca.

  • Quase nenhum usuário usa senhas criptograficamente longas e randômicas, que só podem ser razoavelmente atacadas ao iniciar uma pesquisa exaustiva no espaço de chaves, ou seja, um .

  • A maioria dos usuários usa senhas muito ruins, que são extremamente vulneráveis ao híbrido , dicionário baseado em regras , permutação ou outros ataques

  • E aqueles que não são realmente ruins, mas não são criptograficamente aleatórios, ainda são vulneráveis a menos do que o tempo de força bruta, dados os ataques de Markov e avançados dicionário baseado em regras ou ataques de máscaras

  • E para os fãs do XKCD, existem combinator ataques, onde isso realmente depende das escolhas de palavras. .. que a maioria dos seres humanos são realmente ruins.

    • Assim, o atacante não está usando todas as palavras em inglês ... eles estão usando o top 5000, ou três top 5000 e um top 20.000, ou dois top 5000, um top 5000 verbo e assim por diante. ..

    • E dicionários de citações e linhas famosas.

      • como parte de ataques baseados em regras.

  • Ou ataques de impressão digital funcionam bem em alguns padrões de uso.

Note também que os sites de "força da senha" quase nunca levam em consideração QUALQUER variante da lei de Moore, que em quebra de senha (uma operação ridiculamente paralelizável) está viva e bem, então quando dizem mil anos, eles significam hardware do mesmo preço em uma década e meia ou assim fazendo nada, mas burro, cego, pura força bruta idiota exaustiva busca no espaço do teclado.

Experimentá-los - estas são todas as senhas inúteis sem valor HORRÍVEL:

  • senha

    • "Instantaneamente" - ok, sempre que dizem que sua senha é ruim, é ruim .

  • Senha

    • "Instantaneamente" - ok, sempre que dizem que sua senha é ruim, é ruim .

  • Senha123

    • "412 anos" - Realmente?

  • P @ $$ w0rd123

    • "4 mil anos" - Sim, certo ... leet falar em quase todas as suas formas é apenas mais um conjunto de regras

  • Jennifer2007

    • "25 mil anos" - você está brincando, certo? O primeiro nome da outra pessoa / filha, mais o ano em que se casou / conheceu / nasceu?

  • B @ $ 3b @ 111

    • "275 dias" ... e é baseball1 com leet speak, e nós cobrimos isso.

  • WinniethepoohWinniethepooh

    • "3 octillion years" - e é direto das regras jumbo padrão de John the Ripper no arquivo password.lst padrão (patético) do JtR.

  • Ncc1701Ncc1701

    • "98 milhões de anos" - você está brincando, certo? Mais uma vez, é direto das regras jumbo padrão do John the Ripper com o arquivo password.lst JtR padrão (patético).

  • a1b2c3123456

    • "37 anos" - e é direto das regras jumbo padrão de John the Ripper no arquivo password.lst padrão (patético) do JtR.

  • TRIBUNAL

    • "59 anos" - e é direto das regras jumbo padrão de John the Ripper no arquivo password.lst padrão (patético) do JtR.

Veja também minha resposta a Devo rejeitar senhas obviamente ruins? em security.stackexchange.com, que também abrange medidores de resistência e tempos de quebra.

    
por 24.02.2016 / 06:15
1

Você deve tentar no link , eles provavelmente serão mais sutis para ajudá-lo.

Mas, tanto quanto eu posso ver o seu número de combinações / cálculos + por segundo se a senha não está na lista ou algory simples como x0=1;x1=X0+1;xn=x(n-1)+1. E parece que há um fator de tempo extra se usar letras não inglesas

    
por 03.02.2016 / 09:51

Tags

Instale o OS X El Capitan na partição HDD sem apagar outras partições Como alterar a opacidade da barra de ferramentas de favoritos do firefox?