Реклама мешает? Идти Без рекламы Сегодня 

Оценщик времени взлома пароля

РазработчикБезопасность

[iotools_password_hash_crack_time_estimator]

Гид

Оценщик времени взлома пароля

Оцените, сколько времени потребуется реальному атакующему, чтобы перебрать пароль, защищённый конкретным алгоритмом хеширования. Оценщик соединяет показатели скорости хеширования Hashcat с объёмом пространства ключей, выбранного для пароля, и отображает время взлома в четырёх уровнях атакующих: бюджетный GPU, один RTX 4090, профессиональный кластер из восьми GPU и масштабный ботнет из тысячи ускорителей H100.

В отличие от общих метрик прочности, этот инструмент понимает, что не все хеши одинаковы. Двенадцатибуквенное пароль, защищённое MD5, может быть взломан за несколько секунд; такой же пароль, защищённый Argon2id с разумными параметрами, может устойчиво противостоять ресурсам государственного уровня в течение веков. Выбор алгоритма и его параметров затраты часто важнее, чем добавление дополнительных символов.

Как использовать

Выберите алгоритм хеширования, который используется в вашем приложении для хранения паролей.
Если это функция вычисления ключа, установите параметры затрат. Для bcrypt это фактор затрат; для scrypt — параметр N; для Argon2id — объём памяти в мегабайтах и количество итераций; для PBKDF2 — количество итераций.
Введите длину пароля, который вы хотите оценить, и выберите набор символов, из которого он состоит.
Посмотрите строку времени взлома для уровня атакующего, который вас интересует. Рекомендательный баннер использует уровень профессионального кластера как реалистичный предел для мотивированного атакующего в режиме офлайн.
Повторяйте проверку алгоритма, параметров затрат, длины пароля или набора символов, пока не появится зелёный результат для угрозы, которую вы защищаете.

Возможности

Восемь алгоритмов — MD5, SHA-1, SHA-256, SHA-512, bcrypt, scrypt, Argon2id и PBKDF2-HMAC-SHA256, включая их варианты с солью, повышенной затратой памяти и итерационными параметрами.
Четыре уровня атакующих — бюджетный GPU, один RTX 4090, профессиональный кластер из восьми GPU и масштабный ботнет из тысячи ускорителей H100, каждый из которых калиброван по публикуемым показателям Hashcat 6.x.
Затраты-ориентированный масштабирование KDF — фактор затрат bcrypt, параметр N scrypt, объём памяти и количество итераций Argon2id, а также количество итераций PBKDF2 все масштабируют показатели скорости хеширования на каждом уровне атакующего, поэтому изменение параметра немедленно сдвигает результат.
Логарифмическая математика — Обрабатывает длинные пароли и большие пространства ключей без переполнения, поэтому пароль из тридцати двух символов с символами по-прежнему даёт осмысленные значения, а не бесконечность.
Цветные оценки — от «взломан мгновенно» до «отлично», каждая строка получает оценку в виде шарика, соответствующего её временному диапазону, плюс общую рекомендацию, ориентированную на уровень профессионального кластера.
Шесть наборов символов — PIN-коды из цифр до полного набора из девяноста четырёх символов ASCII, с показанием количества символов рядом с каждым вариантом, чтобы было ясно, что вы покупаете за дополнительную разнообразность.

Реклама · УДАЛИТЬ?

 Часто задаваемые вопросы

Что такое скорость хеширования и почему она варьируется так сильно между алгоритмами?

Скорость хеширования — это количество попыток в секунду, которое может проверить аппаратура против целевого хеша. Быстрые, несольные конструкции, такие как MD5 и SHA-256, представляют собой один проход через функцию сжатия, поэтому современный GPU может выполнять десятки миллиардов в секунду. Функции вычисления ключа, такие как bcrypt, scrypt и Argon2id, намеренно делают каждую попытку дорогой в циклах процессора, памяти или обоих, что снижает скорость на шесть до девяти порядков. Эта разница и есть цель использования KDF для хранения паролей.
Почему функции с высокой затратой памяти, такие как scrypt и Argon2id, лучше сопротивляются GPU, чем PBKDF2?

PBKDF2 просто повторяет HMAC много раз, что параллельно распределяется по тысячам малых ядер на GPU. Функции с высокой затратой памяти заставляют каждую попытку обращаться к большому, случайному рабочему набору в памяти, что раскрывает ограниченную пропускную способность памяти и кэш на ядрах GPU. В результате атаки с помощью специализированных ASIC или GPU теряют большую часть своего преимущества, и стоимость взлома растёт в зависимости от того, сколько квадратных миллиметров площади кремниевой пластины готовы купить атакующие.
Как фактор затрат bcrypt переводится в реальное время?

Фактор затрат bcrypt — это показатель степени: значение N означает, что выполняется 2 в степени N итераций настройки ключа Blowfish. Увеличение фактора затрат на единицу, таким образом, удваивает как время вычисления легитимного входа, так и время, которое атакующий тратит на каждую попытку. Защитник теряет несколько дополнительных миллисекунд на каждую аутентификацию; атакующий теряет то же самое удвоение по всему пространству ключей, поэтому увеличение фактора затрат с 10 до 12 является одним из самых дешёвых способов повышения безопасности.
Какова разница между худшим и средним временем перебора?

Худший случай — это время, необходимое для исчерпания всего пространства ключей, что актуально только в случае, если атакующий должен найти каждый возможный пароль. Ожидаемое (среднее) время составляет половину этого, потому что в среднем правильный пароль находится в середине равномерно случайного порядка поиска. Этот оценщик отображает среднее значение, которое чаще всего используется в криптографических моделях угроз.
Учитываются ли эти оценки словари, таблицы радуги и утечки учетных данных?

Нет, оценки предполагают, что пароль выбирается равномерно случайно из выбранного набора символов. Реальные атакующие начинают с утекших списков паролей, распространённых замен и целевых словарей, что сокращает эффективное пространство ключей для паролей, выбранных человеком. Эти цифры представляют верхнюю границу усилий атакующего по отношению к полностью случайным паролям и нижнюю границу ценности использования медленного KDF, соли и ограничения скорости на уровне приложения.