Come posso stimare il tempo impiegato da un determinato computer per indovinare una password?

Dato che la sicurezza informatica e il suo sfruttamento diventano sempre più importanti e pertinenti, trovo molto interessanti siti Web come https://howsecureismypassword.net/ . Quando l'utente immette una password, fornisce loro un tempo stimato che un PC desktop richiederebbe per indovinare quella password esatta. Capisco che questa volta si basa su una serie di variabili come frequenza, diversità dei caratteri, semplicità, ecc.

Sarei molto interessato a trovare una fonte (lezione, libro, discorso, ecc.) Che descriva dettagliatamente il processo che si dovrebbe passare per stimare un tempo simile.

Altre idee utili sarebbero una sorta di formula o algoritmo che consentirebbe a me (e al mio computer) di calcolare un tempo teorico di indovinare la password.

E per coloro che visualizzano la mia domanda con una sufficiente conoscenza dell'hardware, la stima si basa fondamentalmente sulla frequenza del processore? Dal momento che il sito Web di cui sopra basa il suo calcolo su un PC desktop, se assumesse che abbia qualcosa a che fare con la CPU.

Quindi, se qualcuno ha una fonte, una formula o un algoritmo degno, condividilo. Non voterò verso il basso se è pertinente alla domanda in corso.

La risposta a "Posso stimare il tempo impiegato da un utente malintenzionato con hardware noto specifico per indovinare una password con un algoritmo di hashing noto?" è "non puoi".

Questo perché l'hardware fornisce semplicemente la massima velocità possibile. Puoi vedere oclHashcat per alcuni benchmark.

Tuttavia, anche il software fa progressi, che è fondamentale e non prevedibile.

Ancora più importante, dipende interamente da una combinazione di come viene formulata la password e di come l'attaccante la attacca.

• Quasi nessun utente utilizza lunghe password crittograficamente casuali, che possono essere ragionevolmente attaccate solo avviando una ricerca esaustiva nello spazio dei tasti, cioè una maschera o un attacco di forza bruta .

• La maggior parte degli utenti utilizza password davvero pessime, estremamente vulnerabili a ibridi , dizionari basati su regole , permutazione o altri attacchi

• E quelli che non sono davvero cattivi, ma non sono crittograficamente casuali, sono ancora vulnerabili a meno del tempo di forza bruta dati gli attacchi di Markov e gli attacchi avanzati basati su regole o maschere basati su regole

• E per i fan di XKCD, ci sono attacchi combinatori , dove dipende davvero dalle scelte delle parole ... in cui la maggior parte degli umani è VERAMENTE cattiva.

  • Quindi l'attaccante non sta usando tutte le parole inglesi ... stanno usando le prime 5000, o le prime 5000 e una delle prime 20.000, o due delle prime 5000, una delle prime 5000 verbi e così via ...

  • E dizionari di citazioni e linee famose.

    • come parte di attacchi basati su regole.

• O gli attacchi di impronte digitali funzionano bene su alcuni schemi di utilizzo.

Si noti inoltre che quei siti di "sicurezza della password" non prendono quasi mai in considerazione QUALSIASI variante della legge di Moore, che nel cracking delle password (un'operazione ridicolmente parallelizzabile) è viva e vegeta, quindi quando dicono un migliaio di anni, significano per hardware dello stesso il prezzo in un decennio e mezzo circa non facendo altro che una ricerca esaustiva nello spazio dei tasti della pura forza bruta muta, cieca, idiota.

Provali: sono tutte password inutili e inutili ORRIBILI:

• parola d'ordine

  • "Immediatamente" - ok, ogni volta che dicono che la tua password è sbagliata, è cattiva .

• Parola d'ordine

  • "Immediatamente" - ok, ogni volta che dicono che la tua password è sbagliata, è cattiva .

• password123

  • "412 anni" - Davvero?

• P @ $$ w0rd123

  • "4 mila anni" - Sì, giusto ... lascia parlare in quasi tutte le sue forme è solo un altro set di regole

• Jennifer2007

  • "25 mila anni" - stai scherzando, vero? Significativo nome / a dell'altro / figlia più l'anno in cui hanno sposato / incontrato / sono nati?

• B @ $ 3b @ 111

  • "275 giorni" ... ed è baseball1 con leet speak, e l'abbiamo coperto.

• WinniethepoohWinniethepooh

  • "3 ottilioni di anni" - ed è uscito direttamente dalle regole jumbo predefinite di John lo Squartatore rispetto al file JtR password.lst predefinito (patetico).

• Ncc1701Ncc1701

  • "98 milioni di anni" - stai scherzando, vero? Ancora una volta, è uscito dalle regole jumbo predefinite di John lo Squartatore rispetto al file password.lst JtR predefinito (patetico).

• a1b2c3123456

  • "37 anni" - ed è uscito direttamente dalle regole jumbo predefinite di John lo Squartatore rispetto al file password.lst JtR predefinito (patetico).

• thunderbird

  • "59 anni" - ed è uscito direttamente dalle regole jumbo predefinite di John lo Squartatore rispetto al file password.lst JtR predefinito (patetico).

Vedi anche la mia risposta a Devo rifiutare ovviamente password scadenti? su security.stackexchange.com, che copre anche misuratori di forza e tempi di cracking.

Dovresti provare su https://security.stackexchange.com/ , probabilmente saranno più utili per aiutarti.

Ma per quanto posso vedere è il suo numero di combinazioni / calcoli + al secondo se la password non è nella lista o semplici algoritmi come x0=1;x1=X0+1;xn=x(n-1)+1.E sembra che ci sia un fattore di tempo in più se si usano lettere non inglesi