Rompiendo contraseñas a través de tablas hashcat o rainbow. ¿Cual es mas rápido?

Navega tus respuestas
0

Esto es más una cuestión teórica que práctica. Para dar un poco de antecedentes, la discusión en el trabajo ha ideado cómo establecer la complejidad de nuestra contraseña y cuál sería la logística si se robara una base de datos (para esta situación, digamos que tengo 1000 contraseñas en md5).

He hecho las siguientes matemáticas (no tengo idea si estoy en lo correcto) 

hashrate (H/s)                  
GTX 1080ti  43750000000                 

Size    length              keyspace Total(comb)        build time in days
8       lower               26       2.08827E+11        5.52453E-05
10      lower+upper         52       1.44555E+17        38.24209152
11      lower+upper+numeric 62       5.20366E+19        13766.2859

hashrate(H/s)-https://gist.github.com/epixoip/a83d38f412b4737e99bbef804a270c40  
8 gpu cards 3.5E+11                 

Size    length  keyspace        Total           build time in days
8       lower               26  2.08827E+11     6.90566E-06
10      lower+upper         52  1.44555E+17     4.78026144
11      lower+upper+numeric 62  5.20366E+19     1720.785737

Dado que el hashcat es solo fuerza bruta, ¿puedo asumir que el tiempo de construcción sería el mismo que el de crack? ¿Cómo puedo calcular cuánto tiempo tomaría las tablas del arco iris para descifrar el DB

    
pregunta user2762594 01.06.2018 - 21:40
fuente

2 respuestas

1

No puedo hablar del tiempo preciso necesario para generar una tabla de arco iris. Pero puedo abordar su pregunta de manera más general.

Si:

  • es un hash único
  • es un formato de hash sin sal
  • se sabe que la contraseña tiene una complejidad y longitud suficientemente limitadas, de modo que hay disponible una tabla de arco iris equivalente
  • la contraseña tiene suficiente valor dependiente del tiempo para el atacante ("tenemos que romper este hash en 20 minutos o el malo se escapa" escenarios)

... entonces una tabla de arco iris puede tener un valor limitado específico (e incluso entonces, es una apuesta).

De lo contrario, tan pronto como A) tenga más de una contraseña para descifrar, o B) no se conozca la complejidad de la contraseña, la utilidad de las tablas de arco iris disminuye rápidamente. Con una tabla de arco iris, solo puede buscar un hash a la vez , y esa búsqueda requiere una cantidad significativa de tiempo. En ese lapso de tiempo, puede probar billones de contraseñas potenciales contra millones de hashes con hashcat.

La opción moderna y eficiente es crear un plan de ataque con hashcat que suplanta (y va más allá) la tabla de arco iris equivalente, porque la mayoría de los hashes sin sal son tan rápidos que estás mucho mejor usando hashcat. La mayoría de las contraseñas caerán en un ataque usando diccionarios directos, dictado de reglas, ataques combinados / híbridos, máscaras, etc.

tl; dr: hashcat es mucho más eficiente para la mayoría de los casos de uso comunes.

    
respondido por el Royce Williams 02.06.2018 - 00:37
fuente
0

Estás comparando manzanas con naranjas. No puedes comparar estos.

Si hay tablas de arco iris para la longitud de la contraseña que tiene la contraseña, debería ser más rápida.

pero hashcat ejecutará una tonelada de optimizaciones que podrían ser más rápidas dependiendo de la contraseña real.

Si su contraseña es dogwalkscat, y tiene tablas de arco iris para contraseñas de 11 caracteres, tendrá un acierto. Pero si hashcat tiene dogwalkscat en el diccionario, intentará que todas las palabras del diccionario adivinen la contraseña muy rápido ... probablemente más rápido.

    
respondido por el Jonathan 02.06.2018 - 00:17
fuente

Lea otras preguntas en las etiquetas

¿Se puede rastrear un formulario que llené en línea usando 3G en mi teléfono? [cerrado] Cliente web de correo electrónico: cómo manejar las credenciales