John the Ripper - Cálculo del tiempo de fuerza bruta para descifrar la contraseña

Question

John the Ripper - Cálculo del tiempo de fuerza bruta para descifrar la contraseña

#1 de Anti-weakpasswords (2 votos)

4

Estoy usando el modo incremental (fuerza bruta) en John the Ripper para descifrar las contraseñas de Linux MD5. Estoy tratando de calcular el tiempo que tomará ejecutar todas las combinaciones de 12 contraseñas (con 12 sales diferentes para cada contraseña).

Usando un conteo de 95 caracteres y una longitud máxima de 6 caracteres, hay 735,091,890,625 combinaciones (95 ^ 6).

Dado que cada contraseña tiene una sal, nos coloca en (735,091,890,625 x 12) 8,821,102,687,500 cálculos de hashing.

Cuando ejecuto John the Ripper, generalmente se ejecuta a 1133p / s 14273c / s 14273C / s.

Entonces ... 8,821,102,687,500 / 14273 = 618,027,232.36 segundos

51,502,269.36 / 60 = 10,300,453.87 minutos

858,371.16 / 60 = 171,674.23 horas

14,306.19 / 24 = 7,153.09 días

Me doy cuenta de que siempre existe la posibilidad de que una contraseña se descifre antes de tiempo. Sin embargo, ¿he calculado eso correctamente? ¿Tendrá 7,153.09 días (como máximo) para ejecutar todas las combinaciones?

passwords hash cryptography password-cracking md5

pregunta Silversub 04.10.2014 - 03:18

fuente

1 respuesta

Lea otras preguntas en las etiquetas passwords hash cryptography password-cracking md5

¿Cómo uso un directorio de archivos YARA? ¿Es una pregunta de seguridad que solo tiene que 'recordar' una buena idea?

score 2 · Answer 1

Sus cálculos reales parecen sólidos después de su edición con correcciones.

Sin embargo, ahora voy a hacer una operación manual de los cálculos en segundos para demostrar los aumentos de velocidad exponencial que hacen que las fracciones de días sean triviales. Además, un reinicio o dos podrían causar problemas, sin mencionar el uso real de la máquina para otras cosas, parches regulares, cortes de energía, variación de velocidad normal a medida que se ejecutan otros procesos, etc.

Su tiempo esperado depende de sus suposiciones. Si asume que va a iniciar esta computadora exacta con las doce contraseñas y esta versión de JtR, y simplemente la dejará ahí por un par de décadas, entonces sí, está bien.

Si, sin embargo, utilizamos el corolario de House a la ley de Moore, es decir, el poder de cómputo agregado se duplica cada 18 meses (con el craqueo de hash de las contraseñas es vergonzosamente paralelo, esto es lo suficientemente razonable para comenzar), entonces nos damos cuenta de que si solo esperas 1.5 años, luego se rompería el doble de rápido, por lo que terminaría en aproximadamente una década en lugar de aproximadamente dos.

Más avanzado: utiliza esta máquina durante 6 años, y está más o menos a 6/20 del camino. Luego, deja de usar su configuración anterior y compra una nueva configuración que es aproximadamente 16 veces más rápida por un precio más o menos razonable, y los 14/20 restantes se realizan en 1/4 del tiempo, es decir, 14/16 = poco menos de un año + 6 años de espera = poco menos de 7 años.

Los números cambian con el dinero, por supuesto.

Para obtener crédito adicional, tenga o compre una buena GPU y comience a usar herramientas basadas en GPU más pronto, como oclHashcat , que debería proporcionarle Velocidades dramáticamente mejores.