¿Cómo estimamos el tiempo necesario para romper un hash usando técnicas de fuerza bruta?

Navega tus respuestas
2

Un hacker alemán famoso que logró el crack de fuerza bruta un hash SHA1 de 160 bits con contraseña Entre 1 y 6 dígitos en 49 minutos. Ahora manteniendo todo constante (hardware, técnica de craqueo, aquí fuerza bruta, longitud de contraseña, etc.) digamos que se necesita 1 hora para descifrar un algoritmo de bit SHA2-256 (el tiempo empleado es solo un ejemplo, sé que no es el caso actualmente) ) entonces, ¿cómo estimamos el tiempo necesario para descifrar el hash SHA-512 o los hashes SHA2-384 o SHA2-224?

El tipo de hash también es un ejemplo, otra forma de hacer esta pregunta es si toma 1 hora descifrar un hash de 128 bits. ¿Cómo llegamos a una fórmula para estimar el tiempo para descifrar el mismo tipo de hash pero de ¿Una fuerza diferente, todo lo demás permanece constante?

    
pregunta dozer 19.05.2014 - 10:21
fuente

1 respuesta

2

Para los hashes sin ataques más allá de la fuerza bruta, el tiempo de craqueo es: 

keyspace / hashrate

Una contraseña de seis dígitos o menos tiene un espacio de teclas de 1,111,111 valores posibles, por lo que un hashate de 377 hashes por segundo es suficiente para descifrarlo. Ahora, para una computadora moderna, eso es excepcionalmente lento (el tipo de tasa de hash que se podría esperar de un Apple II), y no sería digno de mención. En realidad, el artículo trata sobre contraseñas de 1 a 6 caracteres : suponiendo alfanuméricos, eso es 6.2 * 10 ^ 10 valores posibles para un valor más impresionante de 21 Mhash / seg. si es bytes , eso es 93 Ghash / seg.

SHA-512, SHA2-384, y SHA-224 no son mucho más lentos para calcular que SHA1 o SHA-256, por lo que si puede forzar una contraseña hash SHA1 en una hora, puede forzar una fuerza bruta en aproximadamente una hora, si se usa uno de los otros hashes SHA en su lugar. Esta es la razón por la cual las contraseñas se deben cifrar utilizando un algoritmo intrínsecamente lento como bcrypt .

    
respondido por el Mark 19.05.2014 - 10:33
fuente

Lea otras preguntas en las etiquetas

¿RAND_add (& Time, sizeof (Time), 0) en cada conexión ssl reduce la aleatoriedad o no? ¿Están nuestras credenciales de correo electrónico seguras con los clientes de correo electrónico?