Quanto è difficile craccare la password principale?

KeePass utilizza un processo di derivazione della password personalizzato che include più iterazioni di crittografia simmetrica con una chiave casuale (che poi funge da sale), come spiegato ci . Il numero predefinito di iterazioni è 6000, quindi sono 12000 chiamate AES per l'elaborazione di una password (la crittografia viene eseguita su un valore a 256 bit, AES utilizza blocchi a 128 bit, quindi ci devono essere due invocazioni AES almeno per ogni round). Con un PC recente quad-core (quelli con spiffy istruzioni AES ), dovresti essere in grado di testare circa 32000 potenziali password al secondo.

Con dieci caratteri casuali scelti in modo uniforme tra i centinaia di caratteri che possono essere digitati su una tastiera, ci sono 10 potenziali password ²⁰ e la forza bruta, in media, cercherà di dimezzare di loro. Ti trovi per 10 ²⁰ * 0,5 / 32000 secondi, noti anche come 50 milioni di anni. Ma con due PC che ha solo 25 milioni di anni.

Ciò presuppone che il processo di derivazione della password non sia difettoso in qualche modo. Nel "processo di derivazione della password personalizzata", la "personalizzazione" è una parola paurosa. Inoltre, il numero di iterazioni è configurabile (6000 è solo il valore predefinito).

Hai ragione, ci vuole molto tempo. Ma non dimenticare che non è necessario provare tutte le password combinate. Se colpisci quello corretto hai finito. Quindi non hai davvero bisogno di 50 milioni di anni. E hai molte più opzioni rispetto all'utilizzo di 2 PC quadcore. È possibile utilizzare un Cluster basato su Amazon Cloud e avviare 5000 istanze CPU elevate. Ovviamente questo è costoso ma non è necessario acquistare 5000 HighEnd Computer in modo da ridurre drasticamente il prezzo.

Ma non so per quanto tempo impiegherai la forza bruta usando un Cluster. E naturalmente sei molto impegnato per un normale PC oggi.