So di una modesta dimostrazione (febbraio 2012, link ) che richiedeva il potere di fare 400 miliardi di ipotesi al secondo su un sistema a 25 GPU. In tal caso, una password di 8 cifre verrebbe bruciata in meno di 6 ore; prima dipende dal metodo della forza bruta. Ma ciò presuppone che l'attaccante abbia accesso al file che memorizza la password crittografata. E francamente, è facile da fare, se hai accesso al computer stesso. Anche se non è possibile accedere all'HDD, l'autore dell'attacco sostituirà semplicemente la tastiera con un computer che invierebbe "sequenze di tasti" molto più velocemente di quanto si possa digitare. Potrebbe essere necessario più tempo, a causa della velocità della connessione USB, ma la frequenza di battitura umana non è un buon riferimento a questo proposito.
Come nota a margine .....
Sulla questione dei caratteri usati in una password, questo non è così semplice come la maggior parte delle persone afferma. Ciò che conta di più è ciò che l'attaccante si aspetta di dover provare, non i personaggi che hai scelto. In altre parole, ciò che conta di più è ciò che i personaggi OGNUNO nel sistema usano, non solo voi. Ad esempio, una sequenza casuale di 'X', 'Y' e 'Z' è altrettanto difficile da indovinare come una sequenza casuale di tutte le lettere dell'alfabeto ... purché gli attaccanti non sappiano che preferisci X, Y e Z. Ma se, nonostante la disponibilità di 100 cifre, è noto all'attaccante che tutti usano solo X, Y e Z, quindi l'attaccante può restringere l'attacco di forza bruta e negare il beneficio di 100 cifre sistema di sicurezza. Il principale di questo è identico a quello dell'attacco del dizionario. Questo è il motivo per cui gli amministratori di sistema potrebbero costringere tutti a utilizzare tipi di caratteri diversi; per assicurarsi che un eventuale intruso debba provare tutte le permutazioni.
Questo non vuol dire che i caratteri specifici usati in una password non influenzino la velocità con cui è rotto. Cioè, quando qualcuno dice "una password di 8 cifre impiega 10 anni di pausa", quel 10 anni è il tempo MASSIMO richiesto. Una dichiarazione più accurata sarebbe: "occorrono 10 anni per testare tutte le combinazioni di password a 8 cifre". Ma il fatto è che alcune password potrebbero essere indovinate molto più velocemente a seconda della selezione del personaggio e del metodo di attacco. Ad esempio, se la password del sistema alfanumerico di 100 caratteri (ad es. 0-9 ...... AZ) e l'attacco di forza bruta utilizza ipotesi sequenziali, una password che inizia con uno "0" verrà interrotta almeno 100 volte più veloce di una password che inizia con il carattere LAST in quella sequenza (chiamiamola 'Z'). Ma questo è difficile da gestire poiché non si può mai sapere quale ordine possa essere usato dall'attaccante. Ad esempio, l'attaccante considera A o 0 la prima cifra? Ed è Z o 9 l'ultima cifra? O se l'hacker sa che tutti usano password che iniziano con caratteri verso la fine dell'alfabeto, allora lui / lei può provare la forza bruta in sequenza inversa e la password che inizia con '0' sarà più sicura.
Sfortunatamente, la velocità con cui le password vengono interrotte riguarda tanto il numero di cifre quanto la prevedibilità del comportamento umano.