Gli attacchi offline sono leggermente diversi dagli attacchi online.
In un attacco online, la limitazione della velocità e il sovraccarico della trasmissione di rete implicano che tentativi di password estremamente rapidi non sono pratici.
In un attacco offline, quando hai una password con hash, puoi ottenere tassi di attacco molto più veloci in genere. E puoi scalarlo (usando il cloud computing) in un modo ampio (che è difficile da fare online, senza bot-armies).
Tuttavia, una velocità di 130.000 tentativi al secondo, o 560 milioni di tentativi per ogni dollaro, non è così difficile da sconfiggere. Thomas ha ipotizzato 100 tentativi al secondo: colpire 100.000 / secondo rende solo le password 1000 volte meno sicure. La 5 password di parola non comune ha avuto un tempo di crack di mezzo trilione di anni: dopo una velocità di 1000x, questo diventa mezzo miliardo di anni.
Il metodo XKCD semplifica l'analisi del costo della tua password. Supponiamo che il tuo aggressore possa provare 1 miliardo di password per dollaro speso ("30 bit" di entropia della password per dollaro) (due volte più efficiente di brainflayer).
Quindi scegliere 4 parole casuali dalle più comuni 1000 parole inglesi (una password XKCD 4 * 1k) ha 40 bit di entropia, quindi ci vogliono 40-30 = 10 bit di dollari, o circa 1000 dollari, per rompere la tua password "offline".
Fino a 4 parole casuali dalle più comuni parole inglesi in 4k (una password XKCD 4 * 4k), e impiegano 48-30 = 18 bit di dollari, o 250.000 dollari per craccare la tua password.
6 parole casuali delle parole inglesi 8k più comuni (6 * 8k) sono 78 bit. Costa 48 bit di dollari per sconfiggerlo oggi, o 250.000.000.000.000 $, o 2-4x il PIL annuale del mondo intero.
Ora, se supponiamo che la legge di Moore continui a valere per quanto riguarda il cracking delle password (ogni 2 anni, il costo del cracking di una password si dimezza), e vogliamo sapere "per quanto tempo la nostra password sarà sicura per 1 milione di dollari? , possiamo fare questo:
30 (bit / dollaro correnti) + 20 (1 milione di dollari) = 50.
Prendi il numero di bit entropia della password e sottrai 50.
La legge di Moore afferma che il calcolo diventa mezzo costoso ogni 2 anni. Quindi raddoppia il numero di bit rimanenti, e questo è il numero di anni in cui la tua password deve essere protetta contro un attacco da 1 milione di dollari.
4 * 1k è 40 bit, che è inferiore a 50, quindi non è sicuro oggi contro un attacco offline.
5 * 4k è 60 bit, quindi è sicuro per ~ 20 anni contro un attacco offline.
6 * 8k è 78 bit, quindi è sicuro per ~ 56 anni contro un attacco offline.
Tutto questo presuppone che tu lasci un sistema di buona qualità e sicuro a scegliere la password per te (se provi a scegliere una password in questo modo, quasi sicuramente avrai meno entrate).