Okay, lassen Sie uns aufschlüsseln, wie Sie die Zeit schätzen, die ein Computer benötigt, um ein 4-Charakter-Passwort zu knacken.
Annahmen, die wir treffen müssen:
* Zeichensatz: Der wichtigste Faktor ist, was Zeichen im Passwort zulässig sind. Wir werden einige gemeinsame Szenarien in Betracht ziehen:
* Nur Kleinbuchstaben (a-z): 26 mögliche Zeichen.
* Kleinbuchstaben und Großbuchstaben (A-Z, A-Z): 52 mögliche Zeichen.
* Buchstaben und Zahlen (a-z, a-z, 0-9): 62 mögliche Zeichen.
* Buchstaben, Zahlen und Symbole (A-Z, A-Z, 0-9 und ~!@#$%^&* () _+=-`): Dies kann je nach den zulässigen Symbolen variieren. Nehmen wir jedoch rund 95 Zeichen an.
* Brute-Force-Angriff: Wir gehen davon aus, dass der Computer jede mögliche Kombination nach Reihenfolge versucht. Dies ist der grundlegendste Angriff.
* Kennwortrissgeschwindigkeit: Die Geschwindigkeit, mit der ein Computer Kennwörter ausprobieren kann, variiert stark von der Hardware (CPU, GPU), der verwendeten Crack -Software und dem Algorithmus, der zum Hash des Kennworts verwendet wird. Wir schätzen eine Reihe von Geschwindigkeiten. Betrachten wir die Operationen pro Sekunde:
* langsam: 1.000 Passwörter/Sekunde (ein sehr altes oder schwaches System)
* moderat: 1.000.000 Passwörter/Sekunde (eine anständige moderne CPU)
* schnell: 10.000.000.000 Passwörter/Sekunde (ein leistungsstarkes GPU -Setup)
Berechnungen
1. Gesamt mögliche Kombinationen:
Die Anzahl der möglichen Passwörter wird berechnet als:
`Character Set Größe ^ Passwortlänge`
Also:
* Kleinbuchstaben (26):26
4
=456.976
* Buchstaben (52):52
4
=7,311.616
* Buchstaben &Zahlen (62):62
4
=14.776.336
* Buchstaben, Zahlen &Symbole (95):95
4
=81.450.625
2. Durchschnittliche Zeit zum Riss:
Bei einem Brute-Force-Angriff findet der Computer im Durchschnitt das richtige Passwort in der Mitte der Liste der Möglichkeiten. Also teilen wir die Gesamtzahl der Kombinationen um 2 und dividieren dann durch die Rissgeschwindigkeit.
`Durchschnittszeit =(Gesamtkombinationen / 2) / Rissgeschwindigkeit`
Ergebnisse (in Sekunden):
| Zeichensatz | Gesamtkombinationen | Langsam (1.000/s) | Gemäßigt (1.000.000/s) | Schnell (10.000.000.000/Sekunden) |
| ----------------------- | -------------------- | -------------------- | ----------------------- | -------------------------- |
| Kleinbuchstaben (26) | 456,976 | 228 Sek. | 0,228 Sek. | 0,0000228 Sek. |
| Briefe (52) | 7,311,616 | 3656 Sek. | 3,65 Sek. | 0,000365 Sek. |
| Buchstaben &Zahlen (62) | 14.776.336 | 7388 Sek. | 7.38 Sek. | 0,000738 Sek. |
| Buchstaben usw. (95) | 81.450.625 | 40725 Sek. | 40.72 Sek. | 0,00407 Sek. |
Konvertieren in verständlichere Einheiten
* Sekunden / 60 =Minuten
* Minuten / 60 =Stunden
* Stunden / 24 =Tage
| Zeichensatz | Langsam (1.000/s) | Gemäßigt (1.000.000/s) |
| ----------------------- | -------------------- | ------------------- |
| Kleinbuchstaben (26) | 3,8 Minuten | 0,228 Millisekunden |
| Briefe (52) | 1,01 Stunden | 3.65 Mikrosekunden |
| Buchstaben &Zahlen (62) | 2,05 Stunden | 7.38 Mikrosekunden |
| Buchstaben usw. (95) | 11.3 Stunden | 40.72 Mikrosekunden |
Wichtige Überlegungen:
* Hashing -Algorithmen: Die Art des Hashing -Algorithmus, mit dem das Passwort gespeichert wird, wirkt sich erheblich auf die Risszeit aus. Salz- und starke Hashing -Algorithmen wie Bcrypt, Argon2 oder Scrypt machen das Knacken auch mit leistungsstarker Hardware viel schwieriger. Die obigen Berechnungen gehen davon aus, dass der Angreifer Passwörter direkt testen kann. Wenn das Passwort gut hämmert, müssen sie die Hashing-Berechnung für jede Vermutung durchführen, was die Dinge drastisch verlangsamt.
* Wörterbuchangriffe: Anstelle von Brute-Forcing versuchen Angreifer zuerst häufig gemeinsame Wörter, Namen und Muster. Dies kann viel schneller sein.
* Regenbogentabellen: Vorbereitete Hashes-Tabellen können das Knacken beschleunigen, insbesondere für schwächere Hashing-Algorithmen.
* Rate Begrenzung: Viele Systeme implementieren die Rate -Limiting, wodurch die Anzahl der in einem bestimmten Zeitraum zulässigen Passwortversuche einschränkt. Dies verlangsamt die Brute-Force-Angriffe effektiv.
Abschließend:
Ein Passwort mit 4-Charakter kann sehr schnell mit moderner Hardware geknackt werden, insbesondere wenn ein kleiner Zeichensatz verwendet wird (wie nur Kleinbuchstaben) und/oder wenn das Kennworthashing schwach ist. Ein Passwort mit einem größeren Zeichensatz (einschließlich Zahlen und Symbole) dauert länger, kann jedoch immer noch anfällig sein. Aus diesem Grund dienen moderne Passwortempfehlungen für viel längere Passwörter und die Verwendung starker und gut salzter Hashing-Algorithmen.