Da Cyber-Sicherheit und deren Nutzung an Bedeutung gewinnen und relevanter werden, finde ich Websites wie https://howsecureismypassword.net/ sehr interessant. Wenn der Benutzer ein Kennwort eingibt, erhält er eine geschätzte Zeit, die ein Desktop-PC benötigt, um das genaue Kennwort zu erraten. Ich verstehe, dass diese Zeit auf einer Reihe von Variablen basiert, wie z. B. Frequenz, Zeichendiversität, Einfachheit usw.
Ich wäre sehr daran interessiert, eine Quelle (Vortrag, Buch, Rede usw.) zu finden, die den Prozess beschreibt, durch den man eine solche Zeit abschätzen würde.
Andere hilfreiche Ideen wären eine Art Formel oder ein Algorithmus, der es mir (und meinem Computer) erlaubt, eine theoretische Kennwort-Schätzzeit zu berechnen.
Und für diejenigen, die meine Frage mit ausreichend Hardware-Kenntnissen betrachten, ist die Schätzung grundlegend auf der Frequenz des Prozessors aufgebaut? Da die vorgenannte Website ihre Berechnung auf einem Desktop-PC basiert, würde man davon ausgehen, dass sie etwas mit der CPU zu tun hat.
Wenn also jemand eine würdige Quelle, Formel oder Algorithmus hat, teilen Sie diese bitte mit. Ich stimme nicht ab, wenn es für die vorliegende Frage relevant ist.
Sie sollten es unter https://security.stackexchange.com/ versuchen . Sie werden wahrscheinlich hilfreicher sein, um Ihnen zu helfen.
Aber soweit ich es sehen kann, ist es die Anzahl der Kombinationen / Berechnungen pro Sekunde, wenn das Passwort nicht auf der Liste steht oder wie bei algorythem. x0=1;x1=X0+1;xn=x(n-1)+1.Und es scheint ein zusätzlicher Zeitfaktor bei der Verwendung von nicht englischen Buchstaben zu sein
Die Antwort auf "Kann ich die Zeit schätzen, die ein Angreifer mit bekannter Hardware benötigt, um ein Kennwort mit einem bekannten Hash-Algorithmus zu erraten?" ist "Sie können nicht".
Dies liegt daran, dass die Hardware nur die maximal mögliche Geschwindigkeit bietet. Bei oclHashcat finden Sie einige Benchmarks.
Die Software macht jedoch auch Fortschritte, die kritisch und nicht vorhersehbar sind.
Noch wichtiger ist, dass es völlig von einer Kombination der Formulierungen des Kennworts und der Art des Angreifers abhängt.
Kaum ein Benutzer verwendet lange kryptografisch zufällige Passwörter, die nur durch eine umfassende Schlüsselraumsuche, dh einen Masken- oder Brute-Force-Angriff, vernünftig angegriffen werden können .
Die meisten Benutzer verwenden wirklich schlechte Kennwörter, die extrem anfällig für hybride, regelbasierte Wörterbücher, Permutation oder andere Angriffe sind
Und diejenigen, die nicht wirklich schlecht sind, aber nicht kryptographisch zufällig sind, sind angesichts von Markov-Angriffen und fortschrittlichen, auf Regeln basierenden Wörterbuch- oder Maskenangriffen immer noch weniger anfällig
Und für XKCD-Fans gibt es Kombinatorangriffe, bei denen es wirklich auf die Wortauswahl ankommt ... bei der die meisten Menschen wirklich schlecht sind.
Der Angreifer verwendet also nicht jedes englische Wort ... er verwendet die Top 5000 oder drei Top 5000 und ein Top 20.000 oder zwei Top 5000, ein Top 5000 Verb usw.
Und Wörterbücher mit berühmten Zitaten und Zeilen.
Oder Fingerabdruckangriffe funktionieren gut bei einigen Verwendungsmustern.
Man beachte auch, dass diese "Passwortstärken" -Seiten fast nie eine Variante des Moore-Gesetzes berücksichtigen, die beim Passwort-Cracking (einer lächerlich parallelisierbaren Operation) am Leben ist und gut ist. Wenn sie also tausend Jahre sagen, meinen sie für Hardware derselben Der Preis in etwa anderthalb Jahrzehnten macht nichts anderes als eine stumme, blinde, idiotische pure Brute-Force-erschöpfende Schlüsselraum-Suche.
Probieren Sie es aus - das sind alles SCHREIWERT wertlose sinnlose Passwörter:
Passwort
Passwort
Passwort123
P @ $$ w0rd123
Jennifer2007
B @ $ 3b @ 111
WinniethepoohWinniethepooh
Ncc1701Ncc1701
a1b2c3123456
THUNDERBIRD
Siehe auch meine Antwort auf Soll ich offensichtlich schlechte Passwörter ablehnen? auf security.stackexchange.com, das auch Kraftmesser und Risszeiten abdeckt.