Estoy leyendo sobre el caso de exposición de contraseña de Ashley Madison. Dean Pierce pudo generar cerca de 4000 contraseñas crackeadas en 5 días dado su sistema. Supongo que generó una tabla de hashes para comparar 1 a 1. Mi pregunta es, ¿cuánto tiempo se tarda en descifrar o probar completamente una contraseña cifrada dado un costo [n]?
Bcrypt tiene un factor de trabajo ajustable. El índice de referencia estándar utiliza un factor de trabajo débil, pero podemos extrapolar. Toma el número para GPU fuerte [1].
13Kh / s con factor de trabajo 5 significa 200H / s con factor de trabajo fuerte. 8 GPU, 1600H / s para toda la máquina. El caso mixto de 8 caracteres con dígitos (62 opciones) es 62 elevado a la octava potencia: 218340105584896 combinaciones. Dividido por 1600 por segundo es: 136462565990 segundos. 4300 años para probar cada combinación. Pero, por supuesto, primero se verificarían las contraseñas comunes y las palabras del diccionario. Esos son los agrietados primero. Con 10 minutos por cuenta, puede probar los 1 millón de contraseñas más populares.
Tenga en cuenta que las contraseñas almacenadas débilmente pueden ser más de mil millones de veces más rápidas de descifrar.
1 - enlace
Lea otras preguntas en las etiquetas password-cracking bcrypt