在 linkedin 密码哈希泄露之后,我一直在研究我们的密码哈希。我们使用 Django 1.4,它使用 PBKDF2,这很棒,比之前的 SHA1 更进一步。
然而我很好奇人们如何轻松地暴力破解这一点。我正在查看我们的密码复杂性规则,并且想知道执行(例如)8 个长度的小写 ascii 字母需要多快。
在这份破解 LinkedIn 密码哈希的指南中,有人在 GPU 上每秒执行 4.3 亿次 sha1 哈希。http://erratasec.blogspot.ie/2012/06/linkedin-vs-password-cracking.html http://erratasec.blogspot.ie/2012/06/linkedin-vs-password-cracking.htmlPBKDF2 能达到什么样的速度?
有谁有关于暴力破解 PBKDF2 的粗略/粗略/大概数字吗?
有一个写在agilebits http://support.agilebits.com/discussions/1password-38-for-mac-from-agilebits-website/11784-entropy-and-pbkdf2从二月份开始,餐巾纸就开始计算了。精简版:
作为一个大概的数字,我想说 10,000 次 PBKDF2 迭代领先
数十或数百毫秒来测试密码是否非常
高端消费体系。我们对 PBKDF2 所做的就是减少
从每秒一百万次测试到几百次测试。这是
考虑到利用多个
核心和多个 GPU。
因此,以您的 erratasec 文章(在 GPU 上每秒对 4.3 亿个 SHA-1 哈希值进行基准测试)作为基准,Agilebits 文章显示的指标表明,使用 10k 次迭代的 PBKDF2 可以将测试次数降至每秒 100k 次左右。
远离科学,但让我们大致了解......
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)