Es posible que los intentos de fuerza bruta tengan éxito antes del peor de los casos, ¿correcto?

Para la mayoría de los ataques de craqueo, el costo del ataque promedio es aproximadamente la mitad del costo del peor de los casos. En pocas palabras, si hay N contraseñas posibles, acertará con la correcta después de N / 2 . Tenga en cuenta que este es un promedio : siempre puede "tener suerte" o "tener mala suerte" en cualquier instancia. Esto se puede cuantificar: la probabilidad de encontrar la contraseña correcta después de probar M es M / N . Por lo tanto, existe una probabilidad de 1/10 de descifrar la contraseña en el décimo momento del peor de los casos, 1/20 de probabilidad para el 20 del peor de los casos, y así sucesivamente.

Algunas veces las personas estiman cuánto tiempo tomará descifrar una contraseña en el peor de los casos; a veces, basado en el tiempo promedio para romperlo. Por lo general, el tiempo promedio para descifrar la contraseña es la mitad del peor de los casos.

Claro, es posible que alguien pueda tener suerte y descifrar la contraseña mucho más rápido de lo esperado. No importa qué tan fuerte sea su contraseña, es posible (al menos en teoría) que alguien pueda tener suerte y simplemente adivine su contraseña a la primera conjetura, al igual que es posible que podrías ganar la lotería mañana. Aunque no es muy probable. Del mismo modo, no es muy probable que alguien tenga la suerte de descifrar la contraseña mucho más rápido de lo esperado.

En particular, si el peor momento para descifrar la contraseña es T , entonces existe una probabilidad de 1 / n de que un atacante descifre la contraseña en < em> T / n intenta o menos. Por ejemplo, si el peor de los casos es 1000 años, hay un 10% de probabilidad de que un atacante tenga éxito en 100 años o menos, un 1% de probabilidad de que tenga éxito en 10 años o menos, y un 0,1% de probabilidad de que lo logre. tener éxito en 1 año o menos.

Si esto te preocupa, la mejor defensa es elegir una contraseña más fuerte (una que sea más difícil de adivinar, por lo que el tiempo en el peor de los casos será más largo).

La estimación del tiempo de duración de una fuerza bruta se realiza en varias suposiciones ...

Dependiendo de cómo se calcule la estimación, uno de estos supuestos es que la computadora sabe de qué conjunto de caracteres se compone su contraseña. Si agrega un solo símbolo no alfanumérico en su contraseña, aumenta la complejidad en gran medida.

Cada carácter adicional y cada carácter que expande el conjunto de caracteres por el que debe pasar la fuerza bruta aumentará la seguridad de su contraseña.

Cuando LastPass fue supuestamente comprometido, es probable que los datos recopilados estén en forma de hash . Estos se pueden descifrar mediante rainbow tables sin embargo, tendrían que ser generados a un gran conjunto de cosas que nos permite que tengamos que ver con el contenido de nuestro hotel. llaves de fuerza bruta.

La segunda suposición defectuosa principal está en el número de permutaciones que se pueden intentar por segundo. Como ejemplo, podría generar dichas tablas arcoiris con una amplia gama de máquinas, además, solo tiene que generarlas una vez y se pueden reutilizar.