Security 密码破解者每秒可以尝试多少次?
谷歌搜索显示,密码破解者可以快速尝试数百万种密码组合,并轻松破解许多密码 我的研究并没有显示他们是否能在现实世界的攻击中如此迅速地做出如此多的尝试。这些密码破解程序实际上必须如何与服务器交互?他们是用自动方式填写表格的吗?当我提交密码IRL时,需要几秒钟才能得到响应。这将使密码破解所需的时间成倍增加!这将提供很多保护,防止这些密码破解 密码破解者是否在多台机器之间分发密码尝试,以便他们可以同时尝试?对于网站服务器来说,将其识别为自动攻击不是很简单吗?是否有更快的方法允许破解者进行多次尝试(为什么服务器会允许)?是最快、最先进的密码破解工具。它可以在CPU和GPU上运行。它可以在GPU中使用多个核,并且可以并行化以使用多个核和板。测试密码的数量取决于应用的密码保护机制。看看基准。BCrypt和Argon2等现代密码保护机制具有防止快速密码搜索的功能,如Security 密码破解者每秒可以尝试多少次?,security,passwords,Security,Passwords,谷歌搜索显示,密码破解者可以快速尝试数百万种密码组合,并轻松破解许多密码 我的研究并没有显示他们是否能在现实世界的攻击中如此迅速地做出如此多的尝试。这些密码破解程序实际上必须如何与服务器交互?他们是用自动方式填写表格的吗?当我提交密码IRL时,需要几秒钟才能得到响应。这将使密码破解所需的时间成倍增加!这将提供很多保护,防止这些密码破解 密码破解者是否在多台机器之间分发密码尝试,以便他们可以同时尝试?对于网站服务器来说,将其识别为自动攻击不是很简单吗?是否有更快的方法允许破解者进行多次尝试(为什么
memorySizeKB并行性真正的好处是,人们也倾向于在其他网站上使用相同的密码。一旦攻击者从被黑客攻击的站点x找到一些用户密码,然后可以尝试另一个站点查看密码是否相同。破解密码的速度因散列类型、硬件功能、使用的软件和散列数而异。进攻方和防守方之间的军备竞赛也随着时间的推移而起伏,所以你的问题的答案只适用于所问的艰难时期。因此,即使另一个答案已经被接受,即使这个问题可能是重复的,也值得每隔一段时间重新明确回答一次 首先,听起来我们需要澄清在线和离线攻击之间的区别 如果有人编写软件来自动化在线攻击的过程——尝试在活动的web界面上列出用户名和密码——他们(希望)会很快进入旨在阻止这种攻击的机制(对于给定用户名或特定时间段内的给定IP地址,仅允许5次错误尝试,等等) 相比之下,大多数密码破解软件的目标是离线攻击——攻击者获取了存储在后端的哈希密码,并可以将其移动到自己的平台进行批量攻击 因此,密码破解讨论通常围绕脱机攻击展开,因为重要的威胁模型是,如果威胁参与者窃取了您的哈希值,并可以使用他们选择的平台对其进行攻击 离线开裂速度完全取决于多种因素:
- 密码存储得有多好(散列的速度有多慢)
- 攻击者可用的硬件(通常GPU越多越好)
- 对于存储良好的“盐渍”散列,有多少散列被攻击(更少的独特盐渍=更快的攻击,因此攻击一个散列要比攻击一百万个盐渍散列快得多,等等)
- 用于比较密码破解性能的最常用基准之一是NTLM(Windows系统用于存储本地密码的散列)。它对于基准测试非常有用,因为它非常常见,在许多攻击模型中都很受关注,而且是一种非常“快速”(更容易破解)的散列。最近(2018年2月),hashcat演示了以的速度在单个NVIDIA 2080Ti卡上破解NTLM哈希的能力(披露:我是hashcat团队的成员)。在这样的速度下,人们使用的绝大多数密码记忆策略很可能会被攻击者用正确的工具和技术破解。只有最强大的密码(随机密码或基于随机密码的密码,并且具有足够的长度/熵)是攻击者无法触及的
- 相比之下,最慢的散列之一(对防御者来说也是最好的)是bcrypt。bcrypt的“成本”系数使攻击者每次迭代的成本翻倍。建议使用“成本12”左右的bcrypt散列,但即使是相对“快速”的bcrypt成本(成本5)在同一个2080Ti GPU上,只能以每秒28000次哈希的速度破解。在这种速度下,只有最弱的密码才能被快速破解,中等强度的密码具有“数字强度”,并且更难批量破解(但如果针对单个人的哈希,仍然可以破解),并且攻击者通常无法接触到任何相当强的密码