Se si tratta di una vecchia implementazione di crypt(3)
, utilizzando DES, è possibile (ma non abbastanza) forzare la forza.
In tale schema, l'input viene troncato a 8 caratteri e ogni carattere a 7 bit, il che significa che c'è uno spazio di 56 bit di password distinte da cercare.
Per il solo DES, è possibile cercare l'intero spazio in circa 18 giorni su FPGA da $ 10.000 (http://en.wikipedia.org/wiki/Data_Encryption_Standard#Brute_force_attack), quindi il tempo previsto è di 9 giorni. Ma suppongo che tu non abbia $ 10K da spendere per il problema. Dagli ancora qualche anno e chissà se i cracker del DES funzioneranno in un tempo plausibile sulla GPU di un PC.
Anche in questo caso, crypt(3)
prevede tradizionalmente 25 round di DES, con lievi modifiche all'algoritmo basato sul sale, quindi ci si aspetterebbe che sia almeno 25 volte più lento alla forza bruta.
Le implementazioni più recenti di crypt(3)
sono ben al di là della forza bruta, poiché si basano su algoritmi di hash migliori rispetto a quello basato su DES utilizzato dal vecchio crypt(3)
.
Ovviamente, se la stringa non è casuale (ad esempio se si tratta di una password scelta da un essere umano), potrebbe essere possibile ottenere un tempo previsto migliore rispetto alla forza bruta.
fonte
2009-07-21 19:55:48
sì si chiama password cracking http://en.wikipedia.org/wiki/Password_cracking – newacct