La cosa importante da capire è che il tempo di cracking della password è medio . L'attaccante proverà molte password e potrebbe essere fortunato ... oppure no. John lo squartatore utilizzerà l'elenco di parole fornito, quindi proverà "varianti" di dette parole, in un ordine che può o non può essere rappresentativo di ciò che un utente malintenzionato farà.
Se la tua password è scelta "a caso" (uniformemente) in un insieme di N possibili password, allora il tempo di attacco medio sarà il tempo necessario per calcolare N / 2 hash (con qualsiasi funzione di hash utilizzata nella tua situazione specifica). Ciò significa che se si genera un milione di tali password e ogni volta si ottiene l'hacker di decifrare la password scelta, e quindi di sommare tutte le volte che sono state prese e dividerle per un milione, si troveranno quei tempi medi. A volte l'aggressore era più veloce; a volte è stato più lento.
Oppure, detto diversamente: no, John the Ripper NON è il tanto favoloso "misuratore di password" che darà un "valore di forza" assoluto alla tua password. La forza di una password è una proprietà di come la si genera , non della password stessa. Per ogni password specificata, puoi solo ragionare su medie e pregare per il meglio.
L'idea generale è che una password sufficientemente casuale (più correttamente, una password che sia generata da un processo sufficientemente casuale ) porterà la probabilità che un utente malintenzionato si ritenga sufficientemente basso da essere trascurato (se l'autore dell'attacco ha una sola possibilità su 14 milioni di ottenere la password entro una settimana di calcoli, allora puoi persino eliminare le probabilità acquistando un biglietto della lotteria, che ha una probabilità su 14 milioni di renderti ricco abbastanza da ignorare quelle banali questioni di password rubate).