Quanto è difficile craccare la password principale?

101

Con quale facilità qualcuno potrebbe crackare il mio file keepass .kdbx se quella persona ruba il file ma non ottiene mai la password principale?

Questa è una seria minaccia o un attacco di forza bruta richiede tempi di elaborazione massivi?

Assumi una password di oltre 10 caratteri con caratteri distribuiti a caso dell'insieme, comprese tutte le lettere, i numeri e la maggior parte dei simboli della tastiera non alfanumerici.

    
posta steampowered 28.10.2011 - 21:18
fonte

2 risposte

127

KeePass utilizza un processo di derivazione della password personalizzato che include più iterazioni di crittografia simmetrica con una chiave casuale (che poi funge da sale), come spiegato ci . Il numero predefinito di iterazioni è 6000, quindi sono 12000 chiamate AES per l'elaborazione di una password (la crittografia viene eseguita su un valore a 256 bit, AES utilizza blocchi a 128 bit, quindi ci devono essere due invocazioni AES almeno per ogni round). Con un PC recente quad-core (quelli con spiffy istruzioni AES ), dovresti essere in grado di testare circa 32000 potenziali password al secondo.

Con dieci caratteri casuali scelti in modo uniforme tra i centinaia di caratteri che possono essere digitati su una tastiera, ci sono 10 potenziali password 20 e la forza bruta, in media, cercherà di dimezzare di loro. Ti trovi per 10 20 * 0,5 / 32000 secondi, noti anche come 50 milioni di anni. Ma con due PC che ha solo 25 milioni di anni.

Ciò presuppone che il processo di derivazione della password non sia difettoso in qualche modo. Nel "processo di derivazione della password personalizzata", la "personalizzazione" è una parola paurosa. Inoltre, il numero di iterazioni è configurabile (6000 è solo il valore predefinito).

    
risposta data 28.10.2011 - 21:43
fonte
-8

Hai ragione, ci vuole molto tempo. Ma non dimenticare che non è necessario provare tutte le password combinate. Se colpisci quello corretto hai finito. Quindi non hai davvero bisogno di 50 milioni di anni. E hai molte più opzioni rispetto all'utilizzo di 2 PC quadcore. È possibile utilizzare un Cluster basato su Amazon Cloud e avviare 5000 istanze CPU elevate. Ovviamente questo è costoso ma non è necessario acquistare 5000 HighEnd Computer in modo da ridurre drasticamente il prezzo.

Ma non so per quanto tempo impiegherai la forza bruta usando un Cluster. E naturalmente sei molto impegnato per un normale PC oggi.

    
risposta data 06.11.2012 - 11:50
fonte

Leggi altre domande sui tag