Cum să verificați rezistența parolelor

Am vorbit despre crearea de parole puternice în mai multe posturi groove [1] [2] [3], dar nu v-am dat niciodată o modalitate de a le testa. Există mai multe instrumente gratuite de internet care oferă un test localizat pentru testarea parolei și funcționează în orice browser web modern. Majoritatea acestor instrumente utilizează algoritmi de criptografie obișnuiți pentru a determina probabilitatea unei crapări a parolei care generează o potrivire exactă pentru un MD5 tradus al unei parole criptate.

În ciuda faptului că multe dintre instrumentele de parolă online vor spune că nu transmit niciunul dintre datele pe care le introduceți înapoi pe serverele acestora, vă sugerez să nu utilizați exact parola reala in orice tester online.

Ce este Entropia cu parolă?

Entropia este nivelul de imprevizibilitate pe care o are parola sau, cu alte cuvinte, dacă o parolă are un nivel mai ridicat de entropie, înseamnă că are o șansă mai mare de a fi ceva care nu va fi niciodată ghicit.

Pentru a înțelege cât de mult timp o parolă ar lua pentru a crack față de cantitatea de entropie, există o formulă foarte simplificată de urmat. Vă rugăm să rețineți că acest lucru este foarte, foarte simplificat și oricine din domeniul criptografiei este probabil să-și scuture capul în această privință, dar aici merge:

• 2 ^ (nivelul entropiei) = numărul de presupuneri necesare pentru a crăpa
• Orice mediu Joe poate instala software-ul de cracare a parolei și poate face aproximativ 1000 de presupuneri pe secundă.
• Împărțiți numărul de presupuneri necesare după presupunerile pe secundă și aveți secundele de timp necesare pentru a sparge parola, doar împărțiți în funcție de zile / ore / minute.
• Cu toate acestea, dacă vom accelera până la nivelul nebun de supercomputer (ca tipul care a construit o mașină de 25 GPU care poate face 350 de miliarde de presupuneri pe secundă), devine mult mai rapidă. Dar, rata de estimare este încetinită semnificativ în funcție de algoritmul de criptare utilizat. Site-ul tipic utilizează SHA1, pe care un supercomputer ar putea să-l crawleze la o rată de 63 miliarde de presupuneri pe secundă.

Rețineți că, în timp ce aceste parole sunt stocate pe un server web, acestea sunt de obicei protejate de un număr maxim de încercări de parolă pentru o anumită perioadă de timp. Dar, dacă site-ul este vreodată hacked, parolele sale pot fi ușor accesate prin orice sistem de cracare offline pe care hackerii l-au configurat.

Cygnius Password Strength Test

Dintre instrumentele disponibile, testul Cygnius Password Strength Test este preferatul meu. Este doar o casetă simplă, iar când introduceți parola, vă va spune puterea, setul de caractere și nivelul de entropie.

De exemplu:

• "Tr0G0d4r" = 35,5 biți de entropie

35,5 biți de entropie = 398 de zile pentru ca Joe să curețe, dar doar 0,5 secunde pentru ca un supercomputer să se spargă. Asta se traduce la mai puțin de un minut pentru aproape orice expert de crăpare acolo să intre!

• "Mygmailpassword" = 58,9 biți de entropie

58,9 biți de entropie = 18,267,344 ani pentru crawlerea medie a parolei Joe pentru a sparge. Sau pe un supercomputer de aproximativ 105 zile, în teorie.

• "Am o parolă foarte puternică" = 107,4 biți de entropie

107,4 biți de entropie = 5,141,800,300,000,000,000 milenii pentru cracare parola medie Joe pentru a sparge. Pe un supercomputer, ar fi nevoie de 81.615.877.245 milenii a crapa. Este foarte puțin probabil ca aceasta să fie vreodată cracată, cu excepția cazului în care parola dvs. este individualizată și vizată de mai multe sisteme.

Alte site-uri care vă pot testa puterea parolei

• GRC Securitate
• Kaspersky Labs