強力なパスワード(17文字以上)を使用してAES 256で暗号化を解読するのにこれまで何年も(今日でも)かかることは本当ですか?aes 256強力なパスワードクラックする回数
例: B & 3、Gc9 | N)の#$ *)UGE?
強力なパスワード(17文字以上)を使用してAES 256で暗号化を解読するのにこれまで何年も(今日でも)かかることは本当ですか?aes 256強力なパスワードクラックする回数
例: B & 3、Gc9 | N)の#$ *)UGE?
概算:94^17の潜在的なパスワードになり〜94、表示可能なASCII文字の17と仮定すると
。次の質問は、文字列が128ビットのキーに変換される方法です。
十分な反復カウントで〜100msを必要とするPBKDF2などの優れた微分方法が94^16 * 100msを掛け、年に変換する場合は10^24年です。今度は、暗号化装置とマシンの数よりも高速の復号化プログラムで分割します。 1,000倍速いと1,000,000台と言えば、わずか10^15か1,000,000,000,000,000にしかなりません。
鍵の導出機能がなく、同じ高速復号化デバイスと25M/sの暗号化デバイスでの復号化時間がまだ約40,000,000年かかると仮定します。
注:128ビットのAESキーを使用しても、ブルートフォース攻撃は生涯(地球の場合でも)成功しません。
参照:lesser known details about the NSA's capabilities by poncho。
どのくらいの時間がかかるかは、その操作方法によって異なります。どのようにこのパスワードを「クラック」しようとしていますか? – David
パスワード認証者(認証用)として使用される暗号化パスワードは安全ではありません。ハッシュ関数を使用するだけでパスワードベリファイアを保存するだけでは不十分であり、単に塩を追加するだけでセキュリティを向上させることはほとんどありません。代わりに、約100msの間、ランダムな塩でHMACを繰り返し、塩をハッシュで保存します。 'PBKDF2'、' Rfc2898DeriveBytes'、 'password_hash'、' Bcrypt'、 'passlib.hash'などの関数を使うのが良いです。要点は、攻撃者が無差別にパスワードを見つけるのにかなりの時間を費やすようにすることです。 – zaph
これはsecurity.stackexchange.comに属しているので、この質問を議論の対象外としています –