Mike Ounsworth itt (az általad hivatkozott szál szerzője)
Ez nagyszerű mentség a boríték hátuljának matematikai elvégzésére! Az a tényező, amire itt gondolni kell, hogy amikor olyan számokhoz jut, mint a 2 43 , el kell kezdenie az adatok tárolásához és felhasználásához szükséges merevlemezek, CPU-k és villamos energia számát.
A matematika megkönnyítése érdekében tegyük fel, hogy mind a 2 43 jelszó SHA-1 hash-ként van tárolva (ahogyan ez a HIBP adatbázis esetében is van) . Minden SHA-1 érték 160 bit vagy 20 bájt. 2 43 * 20 bájt = 176 terabájt. Nagyobb, mint a laptopom, de a felhőszolgáltatáshoz csekély változás szükséges.
A másik irányba haladva képzelje el, hogy van adatbázisa mind a 2 43 egyszerű szöveges jelszóról. Megkapja a kezét az adminisztrátor jelszavának kivonatával, és azt akarja nyomatékosan kényszeríteni az adatbázisra. Vegyük a legegyszerűbb és legbizonytalanabb esetet; ez egy sótlan SHA-256 hash. Ez az a probléma, hogy bitcoin bányászati berendezéseket építettek babáknak! Vegyük ezt a bitcoin bányászt durva referenciaértékként: 3000 USD, 50TH / s (tera-hash másodpercenként), és 1975 W-ot fogyaszt.
Elhamarkodott matematikám szerint egy ezeknek az egységeknek 2 ^ 43 / (50,000,000,000,000 / s) = 0,2s
ra lenne szükségük az összes jelszó kipróbálásához, feltételezve, hogy egy adatbázis 176 TB adatot tud gyorsan betáplálni rá.
A valóságban a jelszavakat sós PBKDF2 vagy Argon2 tárolásával (jól, kell) kell tárolni. Ez jelentősen megváltoztatja a játékot, mivel ezek a hash funkciók célja az ilyen típusú támadások megakadályozása. Ezeket a kivonatolási funkciókat olyan lassan lehet beállítani, amennyire csak akarja, amikor a jelszót kivonatként tárolja. Mondja, hogy ~ 0,1 s / hash értékre hangolja. Most hirtelen olyan számokat keres, mint "ezer évszázad" és "a bolygó energiafogyasztása".
TL; DR: ezt remek kérdés feltenni!
A válasz az, hogy ha olyan jelszót választ, amelyre emlékezhet, és összeütközhet valaki mással az interneten, akkor a választott jelszó kevésbé fontos, mint az a webhely, amelyet megad neki a biztonságos tároláshoz. .
IMHO, a jelszó kiválasztásakor nem próbálja megakadályozni, hogy egy elég elhivatott támadó valaha is feltörje azt; ehelyett megpróbálja elég nehézzé tenni, hogy lágyabb célpont után menjenek. "Nincs szükségem medvére, csak a barátomra van szükségem" .
Ha természetesen, ha egy teljesen véletlenszerű 32 karakteres jelszókezelőt használ, jelszóval, akkor belép a "világegyetem kora" és a "nagy csillag teljesítménye" kriptográfiai tartományába. Tehát ezt!