algoritme til at beregne password sikkerhed

I don't get it... hvad mener du med "sikkerhed" mht. passwords?

Det afhænger jo 100% af, i hvilke algoritmer passwordet skal bruges. F.eks., hvis du udregner en nøgle til brug ved noget kryptering, så kan det være at flere forskellige kombinationer af bogstaver giver samme nøgle - og ved disse kombinationer er der så mindre sikkerhed end ved andre.

de pågældene passwords skal blot bruges til brugerkonti i en mySQL database, hvor algoritmen hedder SHA1.. det er såmænd alt..

'steganos security suite 5' bruger AES..

viperine - hvor sikkert passwordet er.. hvor lang tid det vil tage at udvinde det hva. bruteforce..

(jeg tager ikke højde for dictionary hack, da dette ville kræve at jeg checkede passworded via en db (det tager for lang tid), desuden er det meget nemt, så det kan jeg altid tilføje).

Hvis password kun består af små bogstaver, så har du 26 muligeheder.
Både store og små bogstaver giver 54.
Hvis du også medtager specialtegn, er du oppe på 96 muligheder.

Herefter kan du udregne antal kombinationer ud fra hvor mange tegn dit password er på. F.eks 4 tegn med kun små bogstaver giver 26 ^ 4 = 456976

Du kan sætte et krav til hvad brugeren må angive af password (antal tegn, special tegn, store/små tegn) alt efter hvilket sikkerhedsniveau du ønsker.

Hvis forskellige passwords alle må bruge samme tegnsæt, er "sikkerheden" direkte proportional med antal tegn i passwordet.

Jeg kan ikke give dig en algoritme, men et værktøj.

http://www.openwall.com/john/

John the Ripper password cracker er et open source project til at cracke multi platform password, med det formål at identificere svare passwords.

Hvis du ikke kan bruge selve værktøjer, kunne du måske udlede algoritmerne, eller kontakte programmørene og få hjælp den vej.

jeg er nu gået igang med at programmere et script der, hva. af antal kombinationer, skal beregne hvor lang tid det vil tage at cracke passworded..

det eneste jeg mangler er hvor mange passwords der kan testes pr. sekund..

crackerne skal først brydde en sha1-oneway encryption og derefter en md5-oneway encryption..

hvor mange passwords vil i tro, man kan teste pr. sekund (på en 2ghz)?

Med de valg af forskellige encryptions, er et realistisk gæt med en 2 Ghz der ikke laver andet, mindst 28 måneder for at cracke dette password.

Begynder vi at tale forskellige former for cluster og peer-to-peer clustering, så kan denne sættes ned, men så taler vi også meget store organisationer eller universiteter, og det vil stadig tage måneder

bufferzone.. jeg kan godt selv beregne hvor lang tid det vil tage.. spørgsmålet er hvor mange passwords en 2ghz kan teste pr sekund.. resten er der taget højde for..

et eksempel på scriptet.. http://noaz.h4f.dk/asddsa.html

noaz> Når man taler om oneway encryptions (hash funktioner), så kan man kun finde kollisioner, dvs. klartekster, der giver samme hash værdi.

Du kan prøve at finde kollisioner. Dette kan naturligvis gøres med bruteforce eller med særlige algoritmer, der udnytter svagheder i hashfunktionen.


MD5 angrebet nåede et godt stykke, men pludselig havde gutten (en tysk professor) fået job hos NSA og så udtalte han "Ich hatte keine lust mehr" (jeg havde ikke lyst mere). Hvor langt man er nået i praksis er der nok kun få mennesker, der ved. Jeg har en kollega, der lige har skrevet eksamensprojekt i netop dette, så derfor har jeg en beskeden viden.

SHA1 ved jeg ikke om man har nogle effektive algoritmer til at finde kollisioner med.

JP

Hvis du skal bruge en database til at checke for dictionary ord har jeg en paa ca. 4 mill. ord som du gerne maa faa, det tager under 1 sec at slaa op om et ord findes.

jpvj- hmm, det vil sige, at det ikke er nok at beregne antal kombinationer.. nåh ja, det var ellers sjovt at skrive det javascript.. :)

bjornicle- lyder godt !, msn ? (n0az $ hotmail.com)