野外密码破解的具体数字

Question

虽然密码猜测是一门科学，但并非所有的攻击者都是最新的进展，或关心投资于GPU或FPGA。

通过打开蜜罐和他们主要关注的是琐碎的密码，甚至没有那么多针对默认密码，可以很容易地测试在线密码猜测攻击。但是，当密码数据库被公开时，在线猜测与脱机猜测有很大不同。

是否有研究或至少有案例表明密码必须有多强才能抵挡普通攻击者的猜测？攻击者必须如何“复杂”地使用诸如开膛手约翰之类的工具？

APT和安全研究人员超出了这个问题的范围。

(上下文：杰夫·阿特伍德断言强密码是无用的，因为攻击者将坚持“低挂密码水果。是否现实？)

Answer 1

攻击本质上有两种类型:目标攻击(APT，高价值目标，人身攻击)和机会攻击(低挂果)。

因此，您感兴趣的是对泄露的密码数据库的离线攻击:答案是有人会费心地将JTR、OCL Hashcat或类似的工具放在该数据库上。该个人/个人/团体正寻求将检索到的凭证集体出售给垃圾邮件发送者、银行账户劫机者等。

如果您想要一个例子：http://blogs.computerworld.com/20272/hackers_众源_帮助_至_裂纹_差一点_6_5_百万_泄密_linkedin_密码 http://nakedsecurity.sophos.com/2012/06/06/linkedin-confirms-hack-over-60-of-stolen-passwords-already-cracked/

毕竟，如果您不打算破解密码DB，为什么还要泄漏密码呢？

Answer 2

不是每一个密码泄漏都是一样的。应用程序使用的哈希函数和应用程序的密码策略应该规定您使用哪些工具来破坏散列。关于这个主题的一个很好的资源是回首2012年S著名密码哈希泄漏-字表、分析及破解新技术。简而言之，它们可以使用混合方法破解大多数密码哈希。

如果应用程序不是咸化密码，或者salt非常小，那么彩虹台就是首选工具。彩虹表是预先计算和免费提供的。这是耗尽密钥空间的最快方法(特别是如果您有raid 0数组！)。由于这些原因，彩虹桌通常是第一种方法，如果可以使用。

“开膛手约翰”能够处理单词列表，并在单词上生成"leet“突变。如果一个密码只是一个字典词，或者是一个单词，那么开膛手约翰就可以破解这个哈希。不同于彩虹桌，开膛手约翰可以接受盐作为一个论点，这不会阻碍开裂。

如果应用程序使用的是bcrypt或pbkdf2的键拉伸，则为和GPU几乎毫无价值。。在2012年的泄密散列分析中，GPU能够破解约48%的密码，这主要是因为bcrypt和pbkdf2不常用。

..。但实际上，数量并不代表一切。我完全不同意杰夫·阿特伍德关于“低挂水果”的观点。最有价值的帐户是管理帐户，通常只有一个密码哈希，攻击者想要破解，他们会尽一切努力破坏这个哈希。作为渗透测试人员，破解管理密码散列在报表中是一个很好的发现，在链接攻击中是一个很好的链接。