我在最近几天看了一下密码学和相关的问题,现在我很困惑。我有一个关于密码强度的问题,希望有人能通过分享他们如何思考以下问题来澄清我的困惑。我正在为这些事情着迷,但需要花时间以其他方式:-)2010年及以后的密码破解
假设我们有一个由大写和小写字母字符,数字和常用符号组成的八位密码。这意味着我们有96^8 = = 7.2万亿个不同的可能密码。
据我所知,至少有两种方法来破解这个密码。一种是尝试一种暴力攻击,我们试图猜测每个可能的字符组合。现代处理器(2010年,例如Core i7 Extreme)每秒能猜出多少个密码(单个密码猜测需要多少指令?为什么)?我的猜测是,需要几年时间的现代处理器才能打破这样的密码。
另一种方法是获取由操作系统存储的密码的散列,然后搜索冲突。根据所使用的散列类型的不同,我们可能比暴力破解更快得到密码。关于此的若干问题:
- 上述句子中的断言是否正确?
- 我该如何考虑查找MD4,MD5等散列冲突的时间?
最后,无论使用AES-128/256的文件加密强度如何,弱链接仍然是我使用的en /解密密码。即使破解密码文本的时间要比宇宙的寿命还要长,对我的解密/加密密码(猜测密码,然后尝试解密文件,尝试下一个密码......)的暴力破解可能会比以前更成功比宇宙的末日还要晚。那是对的吗?
我会很感激,如果人们可以怜悯我,帮助我思考这些可能很简单的问题,以便我可以重新工作。
如果你使用加密,你的哈希不应该(也不会)被保存在任何地方。所以没有碰撞攻击是可能的。 – 2010-05-14 13:54:58
的确如此。这个问题有两种情况。一个是通过冲突检索密码的可行性,以及即使没有散列密码也可以强制密码的可行性。 – mttr 2010-05-14 14:10:39