12 дек. 2011 г.

О надежности паролей

Предистория: Знакомая потеряла пароль, попросила восстановить из базы QIP, там хранится только md5-хеш, при полном изначально отсутствующем опыте и т.п. вместе с изучением того как это делается подбор занял меньше суток на домашнем компьютере. Потом попробовал на амазоновском - там подбор занял 3 часа.

Вывод: Если пароль важен и хотя бы какой-то его хеш доступен для перехвата, то пароли должны быть очень надежными. Сейчас они на одном сервере перебираются со скоростью 250 миллионов паролей в секунду.

Детали:
Если известен MD5-хеш пароля, то 1-7 символьные пароли вроде: маленькие буквы, цифры ломается полным перебором за 9 секунд, 8-символов - за 3 часа на мощном сервере, 20 часов на ноутбуке.

Пароли с буквами в разном регистре, цифрами, спец. символами:
6 символов - около 40 минут
7 символов - 77 машинных часов (календарных может быть меньше, при аренде нескольких серверов).
8 символов - 7300 машинных часов.

Стоимость такого переборного машинного часа в amazon: от 23 рублей.

Итого, максимальна стоимость подбора пароля в пересчете на рубли:
Стоимость подбора пароля при аренде серверов в amazon:
маленькие буквы и цифры 8 символов: 60 рублей или просто подождать на домашнем компе.
со спец. символами, 7 символов: 1600 рублей
со спец. символами, 8 символов: 150 тыс. рублей

уверен, что эту стоимость можно еще сильно снизить, если воспользоваться какими-то специальными методами.
Если ломаются несколько паролей сразу, то общая стоимость почти такая же как стоимость одного пароля, т.е. стоимость единичного пароля уменьшается во столько раз, сколько паролей ломается.

Комментариев нет:

Отправить комментарий