Estoy buscando probar / demostrar cosas como: cuando la lista de palabras suministrada contiene "abc123" y pw="abc123", John divide el pw en 1/2 por segundo ... pero si la lista de palabras no contiene "abc123 "John tarda 5000 segundos en romper el pw.
John --test myPwFile no parece hacer lo que quiero que haga.
Lo importante a entender es que el tiempo de descifrado de contraseñas es un promedio . El atacante intentará muchas contraseñas, y puede ser afortunado ... o no. John the Ripper utilizará la lista de palabras provista, y luego probará las "variantes" de dichas palabras, en un orden que puede o no ser representativo de lo que hará un atacante.
Si su contraseña se elige "al azar" (uniformemente) en un conjunto de N posibles contraseñas, entonces el tiempo de ataque promedio será el tiempo que demore en calcularse. N / 2 hashes (con cualquier función de hash que se use en su situación específica). Esto significa que si genera un millón de tales contraseñas, y cada vez que el atacante descifra la contraseña elegida y luego resume todas las veces tomadas y las divide por un millón, entonces encontrará ese promedio de veces. A veces el atacante era más rápido; a veces era más lento.
O, dicho de otra manera: no, John the Ripper NO es el "medidor de contraseñas", que tiene un "valor de fuerza" absoluto para su contraseña. La fortaleza de una contraseña es una propiedad de cómo la genera , no de la contraseña en sí. Para cualquier contraseña dada, solo puedes razonar sobre promedios y orar por el mejor.
La idea general es que una contraseña que sea lo suficientemente aleatoria (más correctamente, una contraseña que se genera a partir de un proceso lo suficientemente aleatorio ) generará la probabilidad de que un atacante tenga la suerte suficiente como para ser descuidado (Si el atacante tiene solo una posibilidad entre 14 millones para obtener la contraseña dentro de una semana de cómputos, entonces puede igualar las posibilidades comprando un boleto de lotería, que tiene una posibilidad entre 14 millones de hacerte lo suficientemente rico como para ignorar esos triviales cuestiones de contraseñas robadas).
No .
No es posible encontrar el tiempo para descifrar la contraseña. Porque si su contraseña está en el diccionario provisto por John The Ripper, la descifrará muy rápidamente. Pero si la contraseña no está en el diccionario, hará fuerza bruta contra la contraseña probando todas las combinaciones posibles. El tiempo de fuerza bruta es proporcional a la complejidad de su contraseña. Si la contraseña ya no tiene caracteres o números especiales, no tomará mucho tiempo. Si usa John The Ripper para descifrar una contraseña que es compleja, tomará años en su PC. Si la contraseña es muy fuerte con una longitud superior a 15 y combinada con caracteres y números especiales, no intente descifrarla. Tomará más que tu vida.
Lea otras preguntas en las etiquetas passwords password-management