Шаблоны проверки пароля, которые учитывают Закон Мура?

Я собирался делать свое ежегодное изменение пароля на своих учетных записях и пробовать различные сайты (microsoft, lastpass и т.д.), чтобы опробовать гипотетические пароли. Некоторые сайты кажутся немного более тщательными, чем другие сайты в оценке надежности пароля, но это заставило меня задаться вопросом, учитывает ли какой-либо из этих сайтов закон Moores. То есть, кто-то слышит о том, как "потребовалось бы 130 000 лет, чтобы взломать пароль X", но учитывает ли это, что компьютеры удваивают скорость примерно каждые два года?

Мне было бы очень интересно узнать, учитывают ли эти сайты это, или если есть сайты, которые кто-то может предложить, что делать?

ОТВЕТЫ

Ответ 1

Ни один из этих расчетов действительно не учитывает закон mores. Но посмотрим, можем ли мы показать, почему нам не нужно:

Закон Мура гласит, что вычислительная мощность удваивается каждые 18 месяцев (не совсем, но достаточно для наших целей).

Таким образом, это означает, что 130 тыс. лет сегодня будут составлять 65 тыс. лет через 18 месяцев. И 32,5 тыс. За 36 месяцев, и так далее, и так далее.

Мы можем придумать для этого уравнение!

cost-at-time = cost-today * 0.5 ^ (months / 18)

Таким образом, сегодня мы подключаемся к цене симпатичный график (x is years):

y = 130000 * .5 ^ (x / 1.5)

Итак, посмотрим, какова будет наша стоимость для нашего 130-летнего пароля, через 50 лет:

y = 130000 * .5 ^ (50 / 1.5)
y = 130000 * .5 ^ 33.3333
y = 0.000012 years (~6.3 minutes)

Это довольно быстро!

Как насчет 10 лет?

y = 130000 * .5 ^ (10 / 1.5)
y = 130000 * .5 ^ 15
y = 1279 years

Это все еще довольно сильное...

Однако. Он также пропускает точку перестраиваемых алгоритмов, таких как bcrypt и scrypt, которые предназначены для того, чтобы победить закон Мура.

Итак, если вы используете bcrypt, scrypt или PBKDF2 и продолжаете настраивать стоимость так, чтобы она работала в постоянное время, ваш пароль, который сегодня занимает 130 тысяч лет для взлома (по оценкам), по-прежнему займет 130 тысяч лет, чтобы взломать через 50 лет.

Теперь, конечно, это не решает случай, когда злоумышленник сегодня крадет хеш-пароль и проводит следующие 50 лет, атакуя его... Но я должен спросить, какой у вас пароль, защищающий криптонаправленный проведет следующие 50 лет, пытаясь напасть на него?

Securityчерез XKCD