Как узнать формулу, по которой считается время для взлома пароля?

Question

[Zyabi]

Вот например сайт https://password.kaspersky.com/ru/ говорит, что мой пароль взламывается за 4 года, но как он это высчитал и при каких условиях мой пароль можно взломать за 4 года, просто видел статью, что человек ездил в иностранные структуры и там есть станция для лома, там стоят rtx'ы, 8-значный пароль ломается еще до того как все карты инициализируются

Comments

[Рональд Макдональд]

просто видел статью

Больше не читайте балабольство на маргинальных форумах.

[Zyabi]

Рональд Макдональд, codeby.net/threads/supercracker-kiberoruzhie-massovogo-porazhenija-0-8-trillion-hashes-per-second.74361/ вот тут читал, не похоже на ложь, хотя хз, не шарю

[Рональд Макдональд]

Zyabi, ну да, явная чушь.

[Dimonchik]

Zyabi, надо брать, биток как раз в рост. успеете подобрать

Answer 1

[АртемЪ]

Формула простейшая - количество возможных вариантов пароля умножается на время проверки одного варианта.
Количество вариантов зависит от пароля.
Время проверки одного варианта от оборудования.

В итоге узнаем полное время перебора всех вариантов методом брутофорса. Это максимальное время, в реальности по теории вероятности это произойдет быстрее.

Не стоит забывать про радужные таблицы - если пароль простой и хэш не соленый - брутафорс не понадобится - секунда поиска в радужной таблице и пароль готов.

Comments

[xmoonlight]

если пароль простой и хэш не соленый

что есть простой и что значит не солёный?

[АртемЪ]

xmoonlight, Простой - значит не сложный. Небольшая длина, и малое количество допустимых символов.
Не соленый - это значит хэш получен методом хэширования пароля.
Соленый - это значит хэш получен методом хэширования строки содержащей пароль и большой массив дополнительной информации, называемый солью.

[xmoonlight]

АртемЪ, если есть хеш (если он солёный, то и ещё нужна соль) и сам алгоритм хеширования, то никакие бруты и радужные таблицы нафиг не нужны: между шагами при хешировании, всех вариантов коллизий - по пальцам пересчитать...
Откуда года там берутся - непонятно вообще))

Answer 2

[approximate solution]

Сколько бpyтфopcить такой пароль?
https://www.betterbuys.com/estimating-password-cra...

Answer 3

[Zzzz9]

Смотря какой пароль, от какого сервиса.

Answer 4

[Dimonchik]

там стоят rtx'ы,

себе сколько взяли?

Answer 5

[Владимир Дубровин]

Вот вам пароль, ломайте: qwerty23457823

Пароль нельзя сломать, можно сломать либо хеш пароля (восстановив пароль)с, либо шифрование, где пароль используется как ключ либо сервис или оборудование, где пароль используется для аутентификации. В первых двух случаях все зависит от уникальности и энтропии ("случайности") пароля и от криптографического алгоритма, например подбор хеша scrypt, argon2, yescrypt даже по словарю может быть затратным и требовать такой конфигурации оборудования, которую дорого собрать дома и практически невозможно получить в облаке или хостинге. В случае аутентификации все зависит от реализуемых алгоритмов защиты от перебора и credentials stuffing.

То, что пишет Касперский это просто оценка энтропии без учета других факторов переведенная в попугаи, понятные пользователю (оценка типа 40 бит энтропии ему обычно не понятна, а 4 года на взлом - уже лучше), к реальному времени оно отношения не имеет. Оценка энтропии это тоже некое шарлатанство, делается обычно эмпирическими методами, в которые заложены типичные шаблоны применяемые пользователем и учитываемые при брутфорсе. Ваш пароль может быть очень энтропийным, но если он уже засвечен в какой-то из утечек, времени на его подбор надо примерно 0.