彩虹表安全密码的长度

Question

有了强大的计算能力(例如，在Amazon云中可以获得的功能)，您就可以为密码生成巨大的彩虹表。似乎也有一些大彩虹桌，你必须支付。

特勤局可能使用的最大表是什么，密码可以使用的最大字符是多少？

我在想，当你自己选择一个新密码时，应该考虑多长时间的密码？(这不是问题！)

那些巨大的地下彩虹桌(被邪恶势力使用)承载的最大密码长度是多少？

Answer 1

假设256位(32字节)哈希，并假设您想用80个不同的字符(26个小写、26个大写、10个数字、18个其他字符)覆盖所有可能的密码，这些都是所需的彩虹表大小。我使用公式(80 ^ length ) * (32 + length)计算这个值。

但是，请记住，下表为所有80个不同字符的可能组合。当您使用较少的字符或只为遵循某些模式(如字典中所有单词的l 337会说排列)的密码创建散列时，您的空间将大大减少。

Length Size  Unit  
1        2.5 KiloByte          
2      212   KiloByte
3       17   MegaByte
4        1.3 GigaByte
5      112   GigaByte
6        9   TeraByte
7      744   TeraByte
8       59   PetaByte
9        4.7 ExaByte
10     391   ExaByte
11      31   ZettaByte
12       2.5 YottaByte

你自己决定哪个数量级还在你认为的攻击者合理的技术能力之内。但当你想要我的意见时，我想：

• 一个5字的彩虹表(112 GB)很小，可以在今天的宽带互联网上进行交换。
• 6个字符(9 TB)是爱好者或独立的专业破解者在消费级硬件方面所能处理的极限。
• 一个7字彩虹表(744 TB)将适合在一个SAN机架在一个数据中心，因此它将是在技术能力范围内的专业公司存储这样一个表。
• 一个8字符的彩虹表在技术上是相当具有挑战性的，但这种规模的数据库是存在的: Facebook管理一个拥有超过100 PB数据的数据库，CERN有一个由大型强子对撞机实验生成的200 PB数据的数据库。因此，对于一个拥有一百万美元预算的大公司或政府机构来说，这是可以实现的。
• 用今天的技术，9个字符及以上的字符似乎是不可信的。

Answer 2

我是http://passwordcreator.org/网站的作者。我创建这个网站是因为我想要一个更简单的方法来为自己生成安全的密码。在为这个网站做研究的时候，我学到了很多关于安全密码的知识。

有一些分布式密码破解器，每秒可以进行1000亿次的猜测。国家安全局是政府资助的(庞大的预算)，也许可以做一个数量级的更多。

为了从这种攻击中安全一年或更长时间，您的密码必须从几个五分之一的可能性中随机选择。对于从大多数键盘上可用的95个字符随机构造的密码而言，这意味着您现在需要至少10个字符的密码才能获得良好的安全性。

如果您的密码是以其他方式生成的(在我的站点上有几种算法可用)，您的密码可能需要更长的时间才能达到相同的抗猜测能力。

在10个字符的时候，我几乎不得不写下我的随机密码。如果您也是这样的话，我建议您将长度增加到至少14个字符，这些字符将在较长时间内保持安全。

Answer 3

来自Robert优秀博客http://blog.erratasec.com/2011/06/password-cracking-mining-and-gpus.html

这只适用于随机密码，攻击者将进行彻底的搜索。当攻击真实用户的密码时，您首先尝试其他方法。