Задать вопрос
@Zyabi
информационная-безопасность

Как узнать формулу, по которой считается время для взлома пароля?

Вот например сайт https://password.kaspersky.com/ru/ говорит, что мой пароль взламывается за 4 года, но как он это высчитал и при каких условиях мой пароль можно взломать за 4 года, просто видел статью, что человек ездил в иностранные структуры и там есть станция для лома, там стоят rtx'ы, 8-значный пароль ломается еще до того как все карты инициализируются
  • Вопрос задан
  • 1247 просмотров
4 комментария
Подписаться 1 Средний 4 комментария
Пригласить эксперта
Ответы на вопрос 5
Jump
@Jump
Системный администратор со стажем.
Формула простейшая - количество возможных вариантов пароля умножается на время проверки одного варианта.
Количество вариантов зависит от пароля.
Время проверки одного варианта от оборудования.

В итоге узнаем полное время перебора всех вариантов методом брутофорса. Это максимальное время, в реальности по теории вероятности это произойдет быстрее.

Не стоит забывать про радужные таблицы - если пароль простой и хэш не соленый - брутафорс не понадобится - секунда поиска в радужной таблице и пароль готов.
Ответ написан
3 комментария
3 комментария
approximate_solution
@approximate_solution
JS Developer. Angular\React\Vue\Ember
Сколько бpyтфopcить такой пароль?
https://www.betterbuys.com/estimating-password-cra...
Ответ написан
Комментировать
Комментировать
@Zzzz9
Смотря какой пароль, от какого сервиса.
Ответ написан
Комментировать
Комментировать
dimonchik2013
@dimonchik2013
non progredi est regredi
там стоят rtx'ы,


себе сколько взяли?
Ответ написан
Комментировать
Комментировать
z3apa3a
@z3apa3a
Вот вам пароль, ломайте: qwerty23457823

Пароль нельзя сломать, можно сломать либо хеш пароля (восстановив пароль)с, либо шифрование, где пароль используется как ключ либо сервис или оборудование, где пароль используется для аутентификации. В первых двух случаях все зависит от уникальности и энтропии ("случайности") пароля и от криптографического алгоритма, например подбор хеша scrypt, argon2, yescrypt даже по словарю может быть затратным и требовать такой конфигурации оборудования, которую дорого собрать дома и практически невозможно получить в облаке или хостинге. В случае аутентификации все зависит от реализуемых алгоритмов защиты от перебора и credentials stuffing.

То, что пишет Касперский это просто оценка энтропии без учета других факторов переведенная в попугаи, понятные пользователю (оценка типа 40 бит энтропии ему обычно не понятна, а 4 года на взлом - уже лучше), к реальному времени оно отношения не имеет. Оценка энтропии это тоже некое шарлатанство, делается обычно эмпирическими методами, в которые заложены типичные шаблоны применяемые пользователем и учитываемые при брутфорсе. Ваш пароль может быть очень энтропийным, но если он уже засвечен в какой-то из утечек, времени на его подбор надо примерно 0.
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Специалист по управлению уязвимостями (информационная безопасность)
Гринатом Москва
от 100 000 до 120 000 ₽
DevSecOps
Outlines Tech
от 300 000 до 350 000 ₽
Руководитель направления информационной безопасности ОКИИ
Интер РАО – Управление сервисами Санкт-Петербург
от 180 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Доработать обмен заказами 1с
11 мая 2024, в 00:19
1000 руб./за проект
Разработка сайта (верстка)
10 мая 2024, в 23:51
30000 руб./за проект
Опубликовать приложение в Google play
10 мая 2024, в 23:33
2500 руб./за проект
Ещё заказы