Tidak suka iklan? Pergi Bebas Iklan Hari ini 

Pengestimasi Waktu Pemecahan Hash Password

PengembangKeamanan

IKLAN · HAPUS?

[iotools_password_hash_crack_time_estimator]

IKLAN · HAPUS?

Memandu

Estimator Waktu Penyerangan Hash Kata Sandi

Pengestimasi Waktu Pemecahan Hash Password

Estimasi berapa lama yang dibutuhkan serangkaian penyerang dunia nyata untuk melakukan serangan brute-force terhadap kata sandi yang dilindungi oleh algoritma hashing tertentu. Estimator ini menggabungkan laju hash Hashcat dengan ruang kunci dari komposisi kata sandi yang dipilih, lalu melaporkan waktu penyerangan melalui empat tingkat penyerang: GPU dengan anggaran, satu RTX 4090, kumpulan delapan GPU profesional, dan jaringan bot besar skala negara dengan seribu akselerator H100.

Berbeda dengan meteran kekuatan umum, alat ini memahami bahwa tidak semua hash sama. Kata sandi 12 karakter yang dilindungi oleh MD5 dapat ditebak dalam detik; kata sandi yang sama di belakang Argon2id dengan parameter yang masuk akal dapat menahan sumber daya negara selama berabad-abad. Memilih algoritma dan parameter biaya sering kali lebih penting daripada menambahkan lebih banyak karakter.

Cara Penggunaan

Pilih algoritma hashing yang digunakan aplikasi Anda untuk menyimpan kata sandi.
Jika ini adalah fungsi penurunan kunci, atur parameter biayanya. Untuk bcrypt ini adalah faktor biaya; untuk scrypt, parameter N; untuk Argon2id, memori dalam megabyte dan jumlah iterasi; untuk PBKDF2, jumlah iterasi.
Masukkan panjang kata sandi yang ingin dievaluasi dan pilih himpunan karakter yang digunakan.
Baca baris waktu penyerangan untuk tingkat penyerang yang Anda pedulikan. Banner rekomendasi menggunakan tingkat kumpulan profesional sebagai batas realistis bagi penyerang offline yang bersemangat.
Ulangi proses dengan mengubah algoritma, biaya, panjang, atau himpunan karakter hingga hasilnya berubah hijau untuk model ancaman yang Anda pertahankan.

Fitur

Delapan algoritma — MD5, SHA-1, SHA-256, SHA-512, bcrypt, scrypt, Argon2id, dan PBKDF2-HMAC-SHA256, termasuk variasi yang diberi garam, daya tahan memori, dan biaya iterasi.
Empat tingkat penyerang — GPU dengan anggaran, satu RTX 4090, kumpulan delapan GPU profesional, dan fleet skala negara dengan seribu akselerator H100, masing-masing disesuaikan dengan benchmark Hashcat 6.x yang diterbitkan.
Skalasi biaya KDF yang sadar — Faktor biaya bcrypt, parameter N scrypt, memori dan waktu Argon2id, serta iterasi PBKDF2 semua menyesuaikan laju hash per tingkat, sehingga perubahan parameter langsung mengubah hasil penilaian.
Matematika logaritmik — Menangani kata sandi panjang dan ruang kunci besar tanpa mengalami overflow, sehingga kata sandi 32 karakter simbol tetap menghasilkan angka yang bermakna, bukan tak terhingga.
Hasil penilaian berwarna — Dari "ditebak secara instan" hingga "sangat baik", setiap baris mendapatkan pil penilaian yang sesuai dengan rentang waktu, ditambah rekomendasi keseluruhan yang ditetapkan berdasarkan tingkat kumpulan profesional.
Enam himpunan karakter — PIN hanya angka hingga ruang cetak 94 karakter ASCII penuh, dengan jumlah karakter ditampilkan di samping setiap opsi agar jelas apa yang Anda dapatkan dengan keberagaman tambahan.

IKLAN · HAPUS?

 Tanya Jawab Umum

Apa itu laju hash dan mengapa laju hash sangat bervariasi antar algoritma?

Laju hash adalah jumlah percobaan per detik yang dapat diuji oleh perangkat keras terhadap hash target. Desain cepat dan tidak diberi garam seperti MD5 dan SHA-256 hampir merupakan satu kali melalui fungsi kompresi, sehingga GPU modern dapat menjalankan puluhan miliar per detik. Fungsi penurunan kunci seperti bcrypt, scrypt, dan Argon2id secara sengaja membuat setiap percobaan mahal dalam siklus CPU, memori, atau keduanya, yang menurunkan laju sebesar enam hingga sembilan orde besarnya. Selisih ini adalah inti dari penggunaan KDF untuk penyimpanan kata sandi.
Mengapa fungsi berbasis memori seperti scrypt dan Argon2id lebih tahan terhadap GPU daripada PBKDF2?

PBKDF2 hanya mengulang HMAC banyak kali, yang dapat dipercepat secara paralel di ribuan inti kecil pada GPU. Desain berbasis memori memaksa setiap percobaan mengakses himpunan kerja besar secara acak di RAM, yang menunjukkan batasan bandwidth memori dan cache di inti GPU. Hasilnya, serangan khusus ASIC atau GPU kehilangan sebagian besar keuntungan mereka, dan biaya brute-force meningkat sesuai dengan luas area silikon yang dimiliki penyerang.
Bagaimana faktor biaya bcrypt diubah menjadi waktu nyata?

Faktor biaya bcrypt adalah eksponen: faktor biaya N menjalankan N kali proses pengaturan kunci Blowfish. Meningkatkan faktor biaya sebesar satu berarti memperdalam dua kali waktu komputasi login yang sah dan waktu yang dihabiskan penyerang per percobaan. Pemilik sistem menyerap beberapa milidetik tambahan per autentikasi; penyerang mengalami peningkatan dua kali selama seluruh ruang kunci, yang merupakan alasan mengubah faktor biaya dari sepuluh ke dua belas merupakan salah satu kemenangan keamanan paling murah yang tersedia.
Apa perbedaan antara waktu brute-force terburuk dan rata-rata?

Kasus terburuk adalah waktu untuk menghabiskan seluruh ruang kunci, yang hanya relevan jika penyerang harus menemukan setiap kata sandi yang mungkin. Waktu rata-rata, atau waktu harapan, adalah setengah dari itu, karena secara rata-rata kata sandi yang benar berada di tengah dari urutan pencarian acak. Estimator ini melaporkan kasus rata-rata, yang merupakan angka yang paling sering digunakan dalam pemodelan ancaman kriptografi.
Apakah perkiraan ini memperhitungkan kamus, tabel rainbow, dan kebocoran kredensial?

Tidak, perkiraan ini mengasumsikan kata sandi diambil secara acak dari himpunan karakter yang dipilih. Penyerang nyata mulai dengan daftar kata sandi yang bocor, substitusi umum, dan kamus yang ditargetkan, yang menurunkan ruang kunci secara efektif untuk kata sandi yang dipilih manusia. Angka-angka di sini mewakili batas atas dari upaya penyerang terhadap kata sandi acak penuh dan batas bawah dari nilai menggunakan KDF lambat, garam, dan pembatasan laju di lapisan aplikasi.