Ho letto vari articoli sulla forza delle password e le password vs le frasi di passata (inclusa quella di XKCD e il suo thread qui), ma la maggior parte di questi articoli sembra concentrarsi sulle password online e fare affermazioni come le password che richiedono solo essere al sicuro per 70 giorni (fino a quando non li cambi) e di solito assumere qualche forma di limitazione, come le latenze di rete, ecc.
La mia domanda è, qual è una stima ragionevole per ipotesi di password al secondo per i sistemi di crittografia del disco (come TrueCrypt)? L'unica vera limitazione qui è il numero di CPU disponibili per l'attaccante (dal momento che i tentativi di cracking possono essere facilmente parallelizzati).
Anche qualcosa di simile a 10 ^ 12 ipotesi / secondo sembra una stima bassa, se si considera che a 1 ipotesi / clock-tick, con CPU a 1GHz, ciò significa solo 1000 CPU che lavorano in parallelo.
Quanto contribuiscono realmente gli schemi di derivazione chiave incorporati nel software di crittografia su disco (come l'applicazione Truecrypt di SHA / Whirlpool)? Di quanto possono realisticamente abbassare il fattore congetture / tick-clock?
Il problema con lo schema di XKCD, temo, è che per ottenere circa 30 anni (credo che sia una stima ragionevole per lo statuto delle limitazioni, per la maggior parte delle questioni legali, nella maggior parte dei paesi) di sicurezza fuori di esso , avrai bisogno di 7 parole ... e ricordarle tutte nell'ordine corretto non è molto più facile di una combinazione oscura di 16 caratteri