По мере того как кибербезопасность и ее использование становятся все более заметными и актуальными, я нахожу такие сайты, как https://howsecureismypassword.net/, очень интересными. Когда пользователь вводит пароль, он сообщает ему приблизительное время, которое потребуется настольному ПК, чтобы угадать этот точный пароль. Я понимаю, что это время основано на ряде переменных, таких как частота, разнообразие символов, простота и т. Д.
Мне было бы очень интересно найти источник (лекция, книга, речь и т. Д.), Подробно описывающий процесс, через который можно пройти, чтобы оценить такое время.
Другими полезными идеями могут быть какая-то формула или алгоритм, который позволил бы мне (и моему компьютеру) вычислить теоретическое время угадывания пароля.
А для тех, кто просматривает мой вопрос с достаточным знанием аппаратного обеспечения, оценка основана на частоте процессора? Поскольку вышеупомянутый веб-сайт основывает свои вычисления на настольном ПК, если предположить, что он как-то связан с процессором.
Поэтому, если у кого-то есть достойный источник, формула или алгоритм, поделитесь им. Я не буду голосовать, если это имеет отношение к рассматриваемому вопросу.
You should try at https://security.stackexchange.com/, they will probably be more sutable to help you.
But as far as i can see it its number of combintations/calculations + per second if the password is not on the list or simple algorythem like x0=1;x1=X0+1;xn=x(n-1)+1. And it seems there is an extra time factor if using non english letters
Ответ на вопрос «Могу ли я оценить время, которое потребуется злоумышленнику с определенным известным оборудованием, чтобы угадать пароль с известным алгоритмом хеширования?» это «ты не можешь».
Это потому, что аппаратное обеспечение просто обеспечивает максимально возможную скорость. Вы можете посмотреть на oclHashcat для некоторых тестов.
Тем не менее, программное обеспечение также делает успехи, что является критическим и непредсказуемым.
Что еще более важно, это полностью зависит от комбинации того, как сформулирован пароль и как злоумышленник атакует его.
Практически ни один пользователь не использует длинные криптографически случайные пароли, которые могут быть разумно атакованы только при запуске исчерпывающего поиска по пространству ключей, то есть атаки с использованием маски или перебора .
Большинство пользователей используют действительно плохие пароли, которые чрезвычайно уязвимы для гибридных, основанных на правилах словарей, перестановок или других атак
А те, которые на самом деле не плохи, но не являются криптографически случайными, по-прежнему уязвимы по отношению к менее чем грубому времени, учитывая марковские атаки и расширенные словарные или маскированные атаки на основе правил
А для фанатов XKCD есть атаки комбинаторов, где это действительно зависит от выбора слов ..., с которым большинство людей действительно плохо справляются.
Таким образом, злоумышленник не использует каждое английское слово ... он использует верхние 5000, или три верхних 5000 и один верхний 20000, или два верхних 5000, один верхний 5000 глагола и так далее ...
И словари известных цитат и строк.
Или атаки по отпечаткам пальцев хорошо работают на некоторых моделях использования.
Также обратите внимание, что эти сайты с «надежностью пароля» почти никогда не принимают во внимание ЛЮБОЙ вариант закона Мура, который при взломе паролей (смехотворно распараллеливаемая операция) жив и здоров, поэтому, когда они говорят тысячу лет, они означают для оборудования того же самого цена в течение полутора десятилетий или около того, ничего не делая, кроме тупого, слепого, идиотского, чисто грубой силы, исчерпывающего поиска в пространстве клавиш.
Попробуйте их - это УЖАСНЫЕ бесполезные бессмысленные пароли:
пароль
пароль
Password123
P @ $$ w0rd123
Jennifer2007
B @ $ 3b @ 111
WinniethepoohWinniethepooh
Ncc1701Ncc1701
a1b2c3123456
буревестник
См. Также мой ответ на вопрос « Должен ли я отказаться от явно плохих паролей?» на security.stackexchange.com, который также охватывает измерители прочности и время взлома.