Поскольку кибербезопасность и ее использование становятся все более заметными и актуальными, я нахожу такие сайты, как https://howsecureismypassword.net/, очень интересными. Когда пользователь вводит пароль, он сообщает ему приблизительное время, которое потребуется настольному ПК, чтобы угадать этот точный пароль. Я понимаю, что это время основано на ряде переменных, таких как частота, разнообразие символов, простота и т.д.

Мне было бы очень интересно найти источник (лекция, книга, речь и т.д.), Подробно описывающий процесс, через который можно пройти, чтобы оценить такое время.

Другими полезными идеями могут быть какая-то формула или алгоритм, который позволил бы мне (и моему компьютеру) рассчитать теоретическое время угадывания пароля.

А для тех, кто просматривает мой вопрос с достаточным знанием аппаратного обеспечения, оценка основана на частоте процессора? Поскольку вышеупомянутый веб-сайт основывает свои вычисления на настольном ПК, предположим, что он как-то связан с процессором.

Поэтому, если у кого-то есть достойный источник, формула или алгоритм, поделитесь им. Я не буду голосовать, если это имеет отношение к рассматриваемому вопросу.

|источник

2 ответа2

1

Вы должны попробовать по адресу https://security.stackexchange.com/, они, вероятно, будут более подходящими, чтобы помочь вам.

Но, насколько я вижу, это число комбинаций / вычислений + в секунду, если пароль отсутствует в списке или простой алгоритм, такой как x0=1;x1=X0+1;xn=x(n-1)+1. И, кажется, есть дополнительный фактор времени, если использовать не английские буквы

|источник
1

Ответ на вопрос «Можно ли оценить время, которое потребуется злоумышленнику с определенным известным оборудованием, чтобы угадать пароль с известным алгоритмом хеширования?"это" вы не можете ".

Это потому, что аппаратное обеспечение просто обеспечивает максимально возможную скорость. Вы можете посмотреть на oclHashcat для некоторых тестов.

Тем не менее, программное обеспечение также делает успехи, что является критическим и непредсказуемым.

Что еще более важно, это полностью зависит от комбинации того, как сформулирован пароль и как злоумышленник атакует его.

  • Практически ни один пользователь не использует длинные криптографически случайные пароли, которые могут быть разумно атакованы только при запуске исчерпывающего поиска по пространству ключей, то есть атаки с использованием маски или перебора.

  • Большинство пользователей используют действительно плохие пароли, которые чрезвычайно уязвимы для гибридных, основанных на правилах словарей, перестановок или других атак

  • А те, которые на самом деле не плохи, но не являются криптографически случайными, по-прежнему уязвимы по отношению к менее чем грубому времени, учитывая марковские атаки и расширенные словарные или маскированные атаки на основе правил

  • А для фанатов XKCD есть атаки комбинаторов, где это действительно зависит от выбора слов ..., с которым большинство людей действительно плохо справляются.

    • Таким образом, злоумышленник не использует каждое английское слово ... он использует верхние 5000, или три верхних 5000 и один верхний 20000, или два верхних 5000, один верхний 5000 глагола и так далее ...

    • И словари известных цитат и строк.

      • как часть атак на основе правил.

  • Или атаки по отпечаткам пальцев хорошо работают на некоторых моделях использования.

Также обратите внимание, что эти сайты с "надежностью пароля" почти никогда не принимают во внимание ЛЮБОЙ вариант закона Мура, который при взломе паролей (смехотворно распараллеливаемая операция) жив и здоров, поэтому, когда они говорят тысячу лет, они означают для оборудования того же самого цена в течение полутора десятилетий или около того, ничего не делая, кроме тупого, слепого, идиотского, чисто грубой силы, исчерпывающего поиска в пространстве клавиш.

Попробуйте их - это УЖАСНЫЕ бесполезные бессмысленные пароли:

  • пароль

    • "Мгновенно" - хорошо, всякий раз, когда говорят, что ваш пароль плохой, он плохой.

  • пароль

    • "Мгновенно" - хорошо, всякий раз, когда говорят, что ваш пароль плохой, он плохой.

  • Password123

    • "412 лет" - правда?

  • P @ $$ w0rd123

    • "4 тысячи лет" - да, верно ... давайте говорить почти во всех его формах, это просто еще один набор правил

  • Jennifer2007

    • "25 тысяч лет" - ты шутишь, верно? Значительное имя другого человека / дочери плюс год, в который они вышли замуж / встретились / родились?

  • B @ $ 3b @ 111

    • "275 дней" ... и это бейсбол1, и мы поговорим об этом.

  • WinniethepoohWinniethepooh

    • "3 октиллионных года" - и это прямо из стандартных гигантских правил Джона Потрошителя относительно стандартного (жалкого) файла JtR password.lst по умолчанию.

  • Ncc1701Ncc1701

    • "98 миллионов лет" - ты шутишь, верно? Опять же, это прямо из стандартных правил Джона Риппера по отношению к стандартному (жалкому) файлу JtR password.lst.

  • a1b2c3123456

    • "37 лет" - и это прямо из стандартных гигантских правил Джона Потрошителя против стандартного (жалкого) файла JtR password.lst.

  • буревестник

    • "59 лет" - и это прямо из стандартных гигантских правил Джона Потрошителя против стандартного (жалкого) файла JtR password.lst.

См. Также мой ответ на вопрос « Должен ли я отказаться от явно плохих паролей?» на security.stackexchange.com, который также охватывает измерители прочности и время взлома.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .