È possibile che i tentativi di forza bruta abbiano successo prima del caso peggiore, corretto?

Per la maggior parte degli attacchi di cracking, il costo dell'attacco medio è circa la metà del costo del caso peggiore. In poche parole, se ci sono le N password possibili, colpirai quella giusta dopo circa N / 2 . Nota che questa è una media : puoi sempre "essere fortunato" o "sfortunato" su ogni singola istanza. Questo può essere quantificato: la probabilità di trovare la password corretta dopo aver provato M è M / N . Quindi, c'è una possibilità 1/10 di infrangere la password in un decimo del tempo del peggiore dei casi, 1/20 possibilità per il 20 ° del peggiore dei casi, e così via.

A volte le persone stimano quanto tempo ci vorrà per decifrare una password basata sul caso peggiore; a volte, in base al tempo medio per crearlo. Di solito, il tempo medio per decifrare la password è metà del tempo peggiore.

Certo, è possibile che qualcuno possa essere fortunato e crackare la password molto più velocemente del previsto. Diamine, non importa quanto sia strong la tua password, è possibile (almeno in teoria) che qualcuno potrebbe essere fortunato e capita di indovinare la tua password al primo tentativo - proprio come è possibile che potresti vincere alla lotteria di domani. Non è molto probabile, però. Allo stesso modo, non è molto probabile che qualcuno abbia la fortuna di crackare la password molto più velocemente del previsto.

In particolare, se il tempo peggiore per craccare la password è T , allora c'è una probabilità 1 / n che un utente malintenzionato crei la password in < em> T / n tentativi o meno. Ad esempio, se il caso peggiore è di 1000 anni, c'è una probabilità del 10% che un utente malintenzionato possa avere successo in 100 anni o meno, una possibilità dell'1% di riuscire in 10 anni o meno e una probabilità dello 0,1% che potrebbero avere successo in 1 anno o meno.

Se questo ti preoccupa, la migliore difesa è scegliere una password più strong (una che sarà più difficile da indovinare, quindi il tempo peggiore sarà più lungo).

La stima del tempo per quanto tempo impiegherà una forza bruta è fatta su diverse ipotesi ..

A seconda di come viene calcolata la stima, una di queste ipotesi è che il computer sia a conoscenza di quale set di caratteri è compresa la tua password. Se aggiungi un singolo simbolo non alfanumerico nella tua password, aumenta la complessità in misura considerevole.

Ogni carattere in più e ogni carattere che espande il set di caratteri che la forza bruta deve attraversare aumenterà la sicurezza della tua password.

Quando LastPass è stato presumibilmente compromesso, è probabile che i dati raccolti siano sotto forma di hash . Questi potrebbero essere violati tramite tabelle di curve tuttavia dovrebbero essere generati su un set abbastanza grande da includere la tua password, questo significa che puoi pre-generare tasti a forza bruta.

La seconda ipotesi importante è il numero di permutazioni che possono essere tentate al secondo. Ad esempio, è possibile generare le suddette tabelle arcobaleno con una vasta gamma di macchine, inoltre è sufficiente generarle una sola volta e possono essere riutilizzate.