Question

我打算在我的帐户上进行年度密码更改，并尝试使用各种网站（microsoft，lastpass等）来尝试假设的密码。有些网站在评估密码强度时似乎比其他网站更彻底，但这让我想知道是否有任何网站考虑到摩尔定律。也就是说，人们听说“破解X密码需要13万年”，但这是否考虑到计算机每两年加速一次？

我真的很想知道这些网站是否考虑到这一点，或者是否有人建议这样做的网站？

Answer 1

这些计算都没有真正考虑到更多的法律。但是，让我们看看我们是否可以说明为什么我们不必：

摩尔定律规定处理能力每18个月翻一番（不完全，但对我们的目的来说足够好）。

这意味着今天的130k年将是18个月内的65k年。 36个月内32.5k，依此类推，依此类推。

我们可以想出一个等式！

cost-at-time = cost-today * 0.5 ^ (months / 18)

所以今天要花费成本，我们可以看到这个很好pretty graph（x是年）：

y = 130000 * .5 ^ (x / 1.5)

那么，让我们看看50年后我们130k年密码的成本是多少：

y = 130000 * .5 ^ (50 / 1.5)
y = 130000 * .5 ^ 33.3333
y = 0.000012 years (~6.3 minutes)

那很快！

10年怎么样？

y = 130000 * .5 ^ (10 / 1.5)
y = 130000 * .5 ^ 15
y = 1279 years

那仍然非常强大......

然而。它也忽略了像bcrypt和scrypt这样的可调算法，它们的设计能够击败摩尔定律。

因此，如果您使用bcrypt，scrypt或PBKDF2，并继续调整成本以使其在一个恒定的时间内运行，您的密码需要130k年才能破解（估计），在50年内仍需要130k年才能破解

现在，当然这并不能解决攻击者今天窃取密码哈希，并在接下来的50年内攻击它的情况......但我不得不问，你的密码是什么保护加密书呆子将在接下来的50年里试图攻击它？