Okej, låt oss bryta ner hur man uppskattar tiden det skulle ta en dator för att knäcka ett lösenord med 4 tecken.
antaganden vi behöver göra:
* Karaktärsuppsättning: Den mest avgörande faktorn är vilka tecken som är tillåtna i lösenordet. Vi överväger några vanliga scenarier:
* små bokstäver endast (A-Z): 26 möjliga tecken.
* små bokstäver och versaler (A-Z, A-Z): 52 möjliga tecken.
* bokstäver och siffror (A-Z, A-Z, 0-9): 62 möjliga tecken.
* bokstäver, siffror och symboler (A-Z, A-Z, 0-9 och ~!@#$%^&* () _+=-`): Detta kan variera beroende på de specifika symbolerna tillåtna, men låt oss anta cirka 95 tecken.
* brute-force attack: Vi antar att datorn försöker alla möjliga kombinationer i följd. Detta är den mest grundläggande attacken.
* Lösenordsprickningshastighet: Hastigheten med vilken en dator kan prova lösenord varierar mycket beroende på hårdvara (CPU, GPU), den sprickprogramvaran som används och algoritmen som används för att hash lösenordet. Vi uppskattar ett antal hastigheter. Låt oss överväga operationer per sekund:
* långsam: 1 000 lösenord/andra (ett mycket gammalt eller svagt system)
* måttlig: 1 000 000 lösenord/andra (en anständig modern CPU)
* Fast: 10 000 000 000 lösenord/andra (en kraftfull GPU -installation)
Beräkningar
1. Totala möjliga kombinationer:
Antalet möjliga lösenord beräknas som:
"Teckenuppsättningstorlek ^ lösenordslängd"
Så:
* Små bokstäver (26):26
4
=456,976
* Bokstäver (52):52
4
=7 311,616
* Letters &Numbers (62):62
4
=14 776 336
* Bokstäver, siffror och symboler (95):95
4
=81 450,625
2. Genomsnittlig tid att spricka:
I en brute-force-attack kommer datorn i genomsnitt att hitta rätt lösenord halvvägs genom listan över möjligheter. Så vi delar det totala antalet kombinationer med 2 och delar sedan med sprickhastigheten.
`Genomsnittlig tid =(totala kombinationer / 2) / sprickhastighet"
Resultat (på några sekunder):
| Karaktärsuppsättning | Totala kombinationer | Långsam (1 000/sek) | Måttlig (1 000 000/sek) | Fast (10.000.000.000/sek) |
| ----------------------- | -------------------- | ------------------------------------------------------------------------------------------ |
| Små bokstäver (26) | 456,976 | 228 sek | 0,228 sek | 0,0000228 sek |
| Bokstäver (52) | 7 311,616 | 3656 sek | 3,65 sek | 0,000365 SEC |
| Bokstäver &siffror (62) | 14 776 336 | 7388 sek | 7.38 sek | 0,000738 SEC |
| Bokstäver etc. (95) | 81 450,625 | 40725 SEC | 40,72 sek | 0,00407 sek |
Konvertering till mer förståelige enheter
* Sekunder / 60 =minuter
* Minuter / 60 =timmar
* Timmar / 24 =dagar
| Karaktärsuppsättning | Långsam (1 000/sek) | Måttlig (1 000 000/sek) |
| ----------------------- | -------------------- | ----------------------- |
| Små bokstäver (26) | 3,8 minuter | 0,228 millisekunder |
| Bokstäver (52) | 1,01 timmar | 3,65 Microseconds |
| Bokstäver &siffror (62) | 2,05 timmar | 7.38 Microseconds |
| Bokstäver etc. (95) | 11,3 timmar | 40,72 Microsekunder |
Viktiga överväganden:
* hashing algoritmer: Typen av hashingalgoritm som används för att lagra lösenordet påverkar spricktiden avsevärt. Saltning och starka hash -algoritmer som Bcrypt, Argon2 eller Scrypt gör sprickor mycket svårare, även med kraftfull hårdvara. Beräkningarna ovan antar att angriparen direkt kan testa lösenord. Om lösenordet är väl hashat måste de utföra hashberäkningen för varje gissning, vilket drastiskt bromsar saker.
* ordbokattacker: I stället för brute-kraft försöker angripare ofta vanliga ord, namn och mönster först. Detta kan vara mycket snabbare.
* Rainbow Tables: Förkomputerade hashbord kan påskynda sprickbildning, särskilt för svagare hashalgoritmer.
* Ratsbegränsning: Många system implementerar begränsningsbegränsning, vilket begränsar antalet lösenordsförsök tillåtna under en viss tidsperiod. Detta bromsar effektivt brute-force attacker.
Avslutningsvis:
Ett lösenord med 4 tecken kan sprucknas mycket snabbt med modern hårdvara, särskilt om det använder en liten teckenuppsättning (som små bokstäver endast) och/eller om lösenordshashningen är svag. Ett lösenord med en större teckenuppsättning (inklusive siffror och symboler) kommer att ta längre tid, men kan fortfarande vara sårbart. Det är därför moderna lösenordsrekommendationer är för mycket längre lösenord och användningen av starka och väl saltade hashalgoritmer.
