Ответ на вопрос «Могу ли я оценить время, которое потребуется злоумышленнику с определенным известным оборудованием, чтобы угадать пароль с известным алгоритмом хеширования?» это «ты не можешь».
Это потому, что аппаратное обеспечение просто обеспечивает максимально возможную скорость. Вы можете посмотреть на oclHashcat для некоторых тестов.
Тем не менее, программное обеспечение также делает успехи, что является критическим и непредсказуемым.
Что еще более важно, это полностью зависит от комбинации того, как сформулирован пароль и как злоумышленник атакует его.
Практически ни один пользователь не использует длинные криптографически случайные пароли, которые могут быть разумно атакованы только при запуске исчерпывающего поиска по пространству ключей, то есть атаки с использованием маски или перебора .
Большинство пользователей используют действительно плохие пароли, которые чрезвычайно уязвимы для гибридных, основанных на правилах словарей, перестановок или других атак
А те, которые на самом деле не плохи, но не являются криптографически случайными, по-прежнему уязвимы по отношению к менее чем грубому времени, учитывая марковские атаки и расширенные словарные или маскированные атаки на основе правил
А для фанатов XKCD есть атаки комбинаторов, где это действительно зависит от выбора слов ..., с которым большинство людей действительно плохо справляются.
Таким образом, злоумышленник не использует каждое английское слово ... он использует верхние 5000, или три верхних 5000 и один верхний 20000, или два верхних 5000, один верхний 5000 глагола и так далее ...
И словари известных цитат и строк.
- как часть атак на основе правил.
Или атаки по отпечаткам пальцев хорошо работают на некоторых моделях использования.
Также обратите внимание, что эти сайты с «надежностью пароля» почти никогда не принимают во внимание ЛЮБОЙ вариант закона Мура, который при взломе паролей (смехотворно распараллеливаемая операция) жив и здоров, поэтому, когда они говорят тысячу лет, они означают для оборудования того же самого цена в течение полутора десятилетий или около того, ничего не делая, кроме тупого, слепого, идиотского, чисто грубой силы, исчерпывающего поиска в пространстве клавиш.
Попробуйте их - это УЖАСНЫЕ бесполезные бессмысленные пароли:
См. Также мой ответ на вопрос « Должен ли я отказаться от явно плохих паролей?» на security.stackexchange.com, который также охватывает измерители прочности и время взлома.