所以我最近一直在研究密码破解。我偶然发现了几个声称要告诉您密码破解需要多长时间的网站。
真的,我想知道他们是如何计算出来的。
据我了解,密码的可能组合是池大小^密码长度。例如,带有大小写字母的5个字母的密码将是52 ^ 5 = 380204032的可能组合,并且平均而言,假设仅使用暴力破解方法,则在破解密码之前仅需要检查这些组合中的50% 。
那么网站如何才能估计需要破解的时间?当然,这取决于所使用的哈希算法,处理能力等,或者它们只是对每秒猜测数做出假设吗?
我想知道是否存在确定/标准的方法来估计密码破解时间,如果这样,它是如何计算的。
谢谢
假设仅使用蛮力方法
几乎从来都不是这样,所有半专业的饼干都使用组合方法。但是对于检查器站点,实现可能会有所不同...通常,他们将实现一个基于客户端JS的简单检查器,该检查器可以使用此处生成的统计信息(字典词或仅略有不同?所有这些)。
可能是最佳的实现方式:
密码(和哈希)是否已出现在最常用的密码列表或leaked already中,因此受到了解密人员的普遍测试?另外,著名的xkcd 1和2。
如果不是,长度,复杂度(字符集,特殊字符等)以及因此的密码熵是多少?
密码复杂度和预计的破解时间归结在哪里?] >>
最后,密码破解很便宜,可以租用服务,使用AWS和are here的2019年成本估算hashcat。在开膛手hashcat或john开膛手john中,您将确切地看到他们实现的战略,例如从您选择的词典开始(例如,使用特定语言的字典-例如,如果对手掌握了西班牙网站的哈希密码数据库-并且该工具将使用o-> 0,a-> 4等的典型替代形式。 ,请在前面和后面加上简短的字词和数字(例如日期),以便真正利用所有人类元素。用户已经习惯了(确实错误地)选择了一个单词,并通过在开头/结尾添加一些数字和一些特殊的字符来使其变得更“复杂”。但是,人们早就知道lenght beats complexity
[这是来自著名安全专家/研究人员的完全相同的主题explanation。
对于特别提到的站点,如果您检查网页的来源,那么当前存在特定的JS资产,您可以将其放入美化器中。
view-source:https://howsecureismypassword.net/app.60d36fdc.js这是12k行,所以我不能真正发布代码,但是有一段时间,这是pastebin上的固定版本。