En el caso de la violación de datos de Gawker, ¿serían correctas las contraseñas seguras?

La fortaleza de una contraseña está relacionada con dos cosas:

• Entropía: fuerza relativa medida en bits.
• Velocidad de iteración: cuánto tiempo llevaría probar exhaustivamente contra una función determinada.

Gawker utilizó el método hash de criptografía DES (no es la mejor opción). Eso parece ser aproximadamente 10 veces más lento que la fuerza bruta que el MD5. Una GeForce 8800 Ultra (cosecha 2007) es ampliamente citada como una respuesta a 200 millones de hashes MD5 por segundo. Mi GeForce 560 TI es aproximadamente cuatro veces más rápida. 200 * 4/10 = 80 millones de hashes de criptografía DES por segundo.

Una contraseña de 26 + 26 + 10 + 10 (inferior, superior, números, 10 símbolos) y 12 caracteres de longitud vale 2 ⁷⁴ bits de entropía. DES máximo a 2 ⁵⁶ . Wolfram Alpha me dice que tienes un poco de margen de maniobra contra una tarjeta gráfica en 2 ⁵⁶ bits de entropía.

Alternativamente, existe la donde el espacio clave completo podría estar Probado en unos 10 días en 1998 por un proyecto de mascotas de la EFF. Por lo tanto, su contraseña relativamente fuerte aún podría ser derrotada por las limitaciones de un espacio de hashing más pequeño y un algoritmo atacado rápidamente.

No, no está bien. Gawker utilizó el cifrado DES en lugar de un método de hashing fuerte. DES es lo suficientemente débil como para utilizar la fuerza bruta en el hardware moderno.