Cracking delle password tramite hashcat o rainbow tables. Quale è più veloce?

Naviga le tue risposte
0

Questa è più una questione teorica che pratica. Per dare un po 'di retroscena, la discussione sul lavoro ha messo a punto cosa impostare la nostra complessità della password e quale sarebbe la logistica se un DB venisse rubato (per questa situazione diciamo che ho 1000 password in md5).

Ho eseguito la seguente matematica (non ho idea se sono corretto) 

hashrate (H/s)                  
GTX 1080ti  43750000000                 

Size    length              keyspace Total(comb)        build time in days
8       lower               26       2.08827E+11        5.52453E-05
10      lower+upper         52       1.44555E+17        38.24209152
11      lower+upper+numeric 62       5.20366E+19        13766.2859

hashrate(H/s)-https://gist.github.com/epixoip/a83d38f412b4737e99bbef804a270c40  
8 gpu cards 3.5E+11                 

Size    length  keyspace        Total           build time in days
8       lower               26  2.08827E+11     6.90566E-06
10      lower+upper         52  1.44555E+17     4.78026144
11      lower+upper+numeric 62  5.20366E+19     1720.785737

Poiché hashcat è solo forzatura bruta, posso supporre che il tempo di costruzione sia lo stesso del mio tempo di crack? Come posso calcolare quanto tempo impiegherebbero le tabelle arcobaleno per rompere il DB

    
posta user2762594 01.06.2018 - 21:40
fonte

2 risposte

1

Non posso parlare del tempo preciso necessario per generare una tabella arcobaleno. Ma posso indirizzare la tua domanda più in generale.

Se:

  • è un hash singolo
  • è un formato hash non salato
  • è noto che la password ha una complessità e una lunghezza sufficientemente limitate, tale che è disponibile una tabella arcobaleno equivalente
  • la password è di un valore tempo dipendente dall'impronta sufficiente ("dobbiamo distruggere questo hash in 20 minuti o il cattivo arriva")

... quindi una tabella arcobaleno può avere uno specifico valore limitato (e anche in questo caso, è un gioco d'azzardo).

Altrimenti, non appena A) si ha più di una password da decifrare, o B) la complessità della password non è nota, l'utilità delle tabelle arcobaleno diminuisce rapidamente. Con una tabella arcobaleno, puoi cercare un hash alla volta e questa ricerca richiede molto tempo. In quel lasso di tempo, puoi testare trilioni di potenziali password contro milioni di hash con hashcat.

L'opzione moderna ed efficiente è quella di costruire un piano di attacco con hashcat che soppianta (e va ben oltre) la tabella arcobaleno equivalente - perché la maggior parte degli hash non salati sono così veloci che stai molto meglio usando hashcat. La maggior parte delle password cadrà in un attacco usando dizionari semplici, regole dettt +, attacchi combinatori / ibridi, maschere, ecc.

tl; dr: hashcat è molto più efficiente per la maggior parte dei casi d'uso comuni.

    
risposta data 02.06.2018 - 00:37
fonte
0

Stai confrontando le mele con le arance. Non puoi confrontarli.

Se ci sono tabelle arcobaleno per la lunghezza della password che si ha la password, dovrebbe essere più veloce.

ma hashcat eseguirà un sacco di ottimizzazioni che potrebbero essere più veloci a seconda della password effettiva.

Se la tua password è dogwalkscat e ti capita di avere tabelle arcobaleno per password di 11 caratteri, avrai un successo. Ma se hashcat ha dogwalkscat nel dizionario, proverà tutte le parole del dizionario a indovinare la password molto rapidamente ... molto probabilmente più velocemente.

    
risposta data 02.06.2018 - 00:17
fonte

Leggi altre domande sui tag

Rischi per la sicurezza posti dai nomi di file generati dall'utente su un server web [chiuso] Prevenzione XSS nelle applicazioni web a pagina singola