Sto cercando di testare / dimostrare cose del tipo: quando la lista di parole fornita contiene "abc123" e pw="abc123", allora John incrina il pw in 1/2 secondo ... ma se l'elenco delle parole non contiene "abc123 "John impiega 5000 secondi per rompere il pw.
John --test myPwFile non sembra fare ciò che voglio che faccia.
La cosa importante da capire è che il tempo di cracking della password è medio . L'attaccante proverà molte password e potrebbe essere fortunato ... oppure no. John lo squartatore utilizzerà l'elenco di parole fornito, quindi proverà "varianti" di dette parole, in un ordine che può o non può essere rappresentativo di ciò che un utente malintenzionato farà.
Se la tua password è scelta "a caso" (uniformemente) in un insieme di N possibili password, allora il tempo di attacco medio sarà il tempo necessario per calcolare N / 2 hash (con qualsiasi funzione di hash utilizzata nella tua situazione specifica). Ciò significa che se si genera un milione di tali password e ogni volta si ottiene l'hacker di decifrare la password scelta, e quindi di sommare tutte le volte che sono state prese e dividerle per un milione, si troveranno quei tempi medi. A volte l'aggressore era più veloce; a volte è stato più lento.
Oppure, detto diversamente: no, John the Ripper NON è il tanto favoloso "misuratore di password" che darà un "valore di forza" assoluto alla tua password. La forza di una password è una proprietà di come la si genera , non della password stessa. Per ogni password specificata, puoi solo ragionare su medie e pregare per il meglio.
L'idea generale è che una password sufficientemente casuale (più correttamente, una password che sia generata da un processo sufficientemente casuale ) porterà la probabilità che un utente malintenzionato si ritenga sufficientemente basso da essere trascurato (se l'autore dell'attacco ha una sola possibilità su 14 milioni di ottenere la password entro una settimana di calcoli, allora puoi persino eliminare le probabilità acquistando un biglietto della lotteria, che ha una probabilità su 14 milioni di renderti ricco abbastanza da ignorare quelle banali questioni di password rubate).
No .
Non è possibile trovare il tempo per decifrare la password. Perché se la tua password è nel dizionario fornito da John The Ripper, allora creerà la password molto rapidamente. Ma se la password non è nel dizionario farà forza bruta contro la password provando tutte le possibili combinazioni. La tempistica della forza bruta è proporzionale alla complessità della tua password. Se la password non è più senza caratteri speciali o numeri, non ci vorrà molto tempo. Se usi John The Ripper per scomporre una password complessa, ci vorranno anni nel tuo PC. Se la password è molto strong con una lunghezza superiore a 15 e mescolata con caratteri e numeri speciali, allora non provare a crackare. Ci vorrà più della tua vita.
Leggi altre domande sui tag passwords password-management