Наглядно: http://2ip.ru/passcheck/

Пароль yzbhwiwe Результат: ненадёжный Ваш пароль может быть взломан за 52 секунды

Пароль hmf1eh93 Результат: ненадёжный Ваш пароль может быть взломан за 705 секунд

Пароль 5HR7j0G6 Результат: ненадёжный Ваш пароль может быть взломан за 910 минут

Пароль &P410NaU Результат: ненадёжный Ваш пароль может быть взломан за 117 часов

Пароль 3J^3L7l0@! Результат: надёжный Ваш пароль может быть взломан за 85 лет

Пароль UPAeF#o6j1Hl^S11 Результат: надёжный Ваш пароль может быть взломан за 22313782400325 лет

Для генерации паролей использовалась программа Roboform Password Generator

Одно не понятно, какие вычислительные ресурсы они считали основой для расчета?

Наверное у них там терагерцные процы стоят :).

скорее всего определённый набор букв и символов, заранее известен результат, по шаблону определяют.

скорее всего определённый набор букв и символов, заранее известен результат, по шаблону определяют. Вопрос расчета времени угадывания не стоит. Я спросил, какие нужны вычислительные мощности, чтобы угадать за 52 секунды пароль "yzbhwiwe"

скорее всего определённый набор букв и символов, заранее известен результат, по шаблону определяют. Вопрос расчета времени угадывания не стоит. Я спросил, какие нужны вычислительные мощности, чтобы угадать за 52 секунды пароль "yzbhwiwe"

Чтобы за 52 секунды перебрать все пароли длиной до 8 символов, состоящие из латинских букв в нижнем регистре, нужно в секунду проверять 4 миллиарда паролей.

Похоже они именно на такую скорость ориентировались и для других паролей. По второму паролю (hmf1eh93) - чтобы за 705 секунд перебрать все пароли длиной до 8 символов, состоящие из латинских букв в нижнем регистре и цифр, тоже нужно в секунду проверять 4 млрд паролей.

Для третьего (5HR7j0G6) тоже 4 млрд

Ввел там на сайте один из своих паролей:

Пароль: b#D3f%W6P/1i
Результат: надёжный
Ваш пароль может быть взломан за 2914656 лет

YUU, количество символов, из набора которого состоит пароль, в степени длины пароля делить на выведенное время. Получаем 4 млрд. в секунду, как и написано выше. Для любого сервака с 4мя ядрами по 2+ ГГц это раз плюнуть. Задачу же можно на четыре ядра разделить и одновременно проверять.

поэтому пароль дожен быть в разброс и на каждом сайте отднльный!

Вопрос расчета времени угадывания не стоит. Я спросил, какие нужны вычислительные мощности, чтобы угадать за 52 секунды пароль "yzbhwiwe"

Если использовать видеопроцессор обычного одноядерного компьютера за это время запросто можно расчитать такой пароль.

YUU, Вы откуда выходите в интернет. 2ip.ru вроде давно у нас заблокирован..

. Я спросил, какие нужны вычислительные мощности, чтобы угадать за 52 секунды пароль "yzbhwiwe"Да никто и не вычислял ваш и другие пароли, машина определяет то что ей вели и согласно заранее введённых параметров программы даёт результат. Результат вы получаете сразу, за секунды и не ждёте часы и дни ответа.
А чтобы угадать за 52 секунды пароль, есть процессоры и 12 ядерные xeon e5-2600, ставьте и взламывайте пароли примерно за это время.

у меня вообще вот так:
1.3308903012728704e+24 лет это как понимать? :)

у меня вообще вот так:
1.3308903012728704e+24 лет это как понимать? :)

Септиллион лет, так и понимать.

Ввел там на сайте один из своих паролей:

Пароль: b#D3f%W6P/1i
Результат: надёжный
Ваш пароль может быть взломан за 2914656 лет

Поздравляю, теперь они ваш пароль смогут взломать за доли секунды :)

Поздравляю, теперь они ваш пароль смогут взломать за доли секундыСпорим, не смогут? И вы не сможете. Пароль точно этот, я не менял. Вам всего лишь нужно угадать, от чего он

Поздравляю, теперь они ваш пароль смогут взломать за доли секунды Хорошо, что придумали защиту от перебора паролей - доступ с IP и компа/браузера блокируется после 5 неудачных попыток на 10-30 минут. Какие сервисы не содержат такой блокировки, интересно?

Септиллион лет, так и понимать.
ну значит надежда на то, что не взломают пароль, есть :)

Какие сервисы не содержат такой блокировки, интересно?
Я знаю один довольно популярный сервис в зоне .ru, аутентификация в котором реализуется кукой с MD5 пароля без соли :-)

Я знаю один довольно популярный сервис в зоне .ru, аутентификация в котором реализуется кукой с MD5 пароля без соли :-)Переведите пожалуйста.

Хорошо, что придумали защиту от перебора паролей - доступ с IP и компа/браузера блокируется после 5 неудачных попыток на 10-30 минут. Какие сервисы не содержат такой блокировки, интересно?
Хорошо, что придумали bot-net. Пару миллионов компов в сетке по 5 попыток на кажного. А ещё со сбросом ай-пишника через смену нескольких прокси адресов.

Хорошо, что придумали bot-net. Пару миллионов компов в сетке по 5 попыток на кажного. А ещё со сбросом ай-пишника через смену нескольких прокси адресов.Значит пора внедрять защиту от смены IP адресов и временных зон чаще, чем физически возможно для перелета устройства из одной зоны в другую.

есть процессоры и 12 ядерные xeon
Щас придет Khusan и начнет рекламировать свои Xeon ))))))

Щас придет Khusan и начнет рекламировать свои Xeon ))))))Он сразу с 15 ядрами с гипертрейдингом придет?

есть процессоры и 12 ядерные xeon e5-2600, ставьте и взламывайте пароли примерно за это время.
Есть программа Passware Kit, которая допускает до 5 дополнительных подключений так называемых агентов (облачного приложения). Итого 6 одновременных версий одного ПО. Каждая версия может крутиться на 40-ка ядерном облачном ПК. Итого 240 ядер на взлом пароля.

пора внедрять защиту от смены IP адресов и временных зон чаще
я на своём роутере узговнолайновском кнопочку туды-сюды нажму и вуаля! новый айпи адрес!

Переведите пожалуйста.
Это значит, что с каждым запросом серверу посылается (вычисленная по алгоритму MD5) хэш-сумма пароля. Мало того что это неустойчиво к replay-атакам (один раз своровав куку, можно бесконечно выдаваться себя за юзера), так ещё создаёт идеальные условия для offline-брутфорса: обращаться к серверу за проверкой пароля не надо, знай себе сверяй хэши (а MD5 нынче можно считать со скоростью миллиарды хэшей в секунду на одном среднем GPU).

На обычной 20-ти долларовой видеокарте md5-хэш пароля брутится со скоростью 100-200 млн паролей в секунду. За вменяемые деньги можно арендовать GPU-кластер в облаке и достичь скорости намного более, чем 4 миллиарда.

Вот вопрос, а стоит ли рядовому пользователю заморачиваться на всё это?

https://img.uforum.uz/images/jxvxaij2551934.png

Только вот после ввода своих паролей для проверки они стали менее надежны чем до этого. Скажем они учитывают с какого IP пришел клиент его регион и все такое и создает отдельную базу ))) И далее как во всемирном заговоре ))

Хорошо, что придумали bot-net. Пару миллионов компов в сетке по 5 попыток на кажного. А ещё со сбросом ай-пишника через смену нескольких прокси адресов.

Крайне нерациональное использование ботнета, обычно ботнет используют для DDoS атаки, если атака была удачной, выкачивают полностью или часть файлов что хранились на сервере(в первую очередь БД и текстовые документы), после чего уже у себя в локальной сети с помощью того же ботнета производят перебор по базе паролей.

Скажем они учитывают с какого IP пришел клиент его регион и все такое и создает отдельную базу

Скорее всего даже оно так и есть. Отличная возможность пополнить свою базу паролей.

Скорее всего даже оно так и есть. Отличная возможность пополнить свою базу паролей.Кто же свои настоящие пароли так нелепо светит? Для проверки сервиса Робоформ использован был мной, который генерит пароли какие хочешь хоть для проверки, хоть для использования. Менять пароли надо раз в месяц - идеально, раз в квартал - приемлемо, раз в год - минимум.

Кто же свои настоящие пароли так нелепо светит?

Большинство людей до сих пор используют в качестве паролей свою дату рождения/имя+год рождения/имя+дата рождения

Большинство людей до сих пор используют в качестве паролей свою дату рождения/имя+год рождения/имя+дата рожденияПотом жалуются, что аккаунт увели. Они все для этого сделали, чтобы его увели. Что удивляться?

обычно ботнет используют для DDoS атаки, если атака была удачной, выкачивают полностью или часть файлов что хранились на сервере
DDoS — это не про то, вообще то.

DDoS — это не про то, вообще то.
Я просто неправильно выразился, прошу прощения.