înregistrare Logare
Puncte:0
avatar Crypto

Folosind MS Azure pentru a sparge parola

drapel cn
koko9l

Am auzit că există posibilitatea de a efectua un atac de forță brută a unei parole, știu că există o opțiune de a folosi plăcile grafice pe AWS, dar există și o soluție pentru Azure? Ce costuri ar fi necesare pentru a efectua un astfel de atac? Știu că depinde de performanță, timp etc., există o listă de prețuri despre cum rezolvă Azure acest lucru? Nu îl găsesc pe google, am găsit doar soluții pentru AWS.

53
0 + 0
Maarten Bodewes avatar
drapel in
Maarten Bodewes
Poate exista unele suprapuneri, dar nu suntem specialiști Azure aici.
0
Răspunde
drapel cn
koko9l
@MaartenBodewes bine, este vorba de sarcina de forțare brută. PC-ul meu nu poate face asta de unul singur, aș avea nevoie de mai multă putere de calcul a câtorva plăci grafice...
0
Răspunde
Eugene Styer avatar
drapel dz
Eugene Styer
Timpul/costul ar depinde și de algoritmul de hashing al parolei folosit
0
Răspunde
Puncte:1
avatar Crypto
drapel kr
mentallurg

Depinde de mulți factori.

Hai să facem câteva foarte optimist ipoteze. Să presupunem că parola constă din caractere din setul de 64 de caractere (64 luate pentru simplitate, de exemplu, litere engleze mici și mari, cifre de la 0 la 9 și câteva caractere speciale). Să presupunem că parola are lungimea de 12. Dacă caracterele sunt alese aleatoriu, entropia este 6 x 12 = 72 de biți. Și să presupunem, din nou foarte optimist, că un simplu hash precum SHA-256 este suficient pentru a testa o singură parolă. Astfel, în cel mai rău caz, trebuie să calculați 272 hashuri.

Cât poate costa?

Să ne uităm la GPU relativ puternic NVIDIA GeForce RTX 3090, care poate calcula 121 MH/s. Este ~239 hashes pe oră. Acest GPU consumă 350W, care cu pret optimist mic 0,1 USD pe KWh înseamnă 0,035 USD pe oră.

Pentru 272 hashes ai avea nevoie de 272 / 239 = 233 ~= 8.600.000.000 de ore de astfel de GPU. Acest lucru vă va costa ~300.000.000 USD.

Dacă schema de criptare folosește o cheie de 128 de biți (ceea ce nu are sens pentru forța brută) care este derivată cu un algoritm cum ar fi Argon2 din parola de 12 caractere, iar parametrii săi te încetinesc, să spunem cu un factor de 1.000.000, atunci costul tău va crește prin acest factor. Înseamnă, o parolă de 12 caractere te poate costa 300.000.000.000.000 USD.

Costurile unei astfel de puteri de calcul la MS Azure vor fi mai mari, deoarece există și costuri cu hardware-ul, sistemele de răcire, personalul etc.

Dacă doriți să forțați o parolă de 8 caractere și nu este folosită nicio derivare a cheii, atunci după aplicarea aceleiași logică vom obține următoarele: Entropie = 6 x 8 = 48 de biți. Timpul necesar pentru forța brută: 248 / 239 = 29 = 512 ore ~= 21 de zile. Astfel, chiar și cu un singur GPU puteți forța brut o parolă de 8 caractere în 21 de zile, chiar și fără a utiliza MS Azure.

TLDR: Chiar și într-un caz relativ simplu fără derivarea cheii cu o parolă de 12 caractere, forțarea brută poate costa ~300.000.000 USD. Și dacă unele măsuri suplimentare luate, de ex. parola este mai lungă sau se folosește o derivare a cheilor avidă de resurse, poate costa mult mai mult.

0 + 0
drapel hm
Royce Williams
Rețineți, de asemenea, că aceste cifre au loc pentru mai mult optimism :) - presupun parola *generație* în cel mai rău caz (că parola a fost generată aleatoriu). Majoritatea parolelor generate de oameni sunt mult mai ușor de spart (folosind liste de cuvinte, reguli etc.). Matematica de calcul este încă valabilă, dar parola ar putea fi spartă mult mai devreme decât ar necesita epuizarea spațiului de taste.
1
Răspunde
drapel kr
mentallurg
@RoyceWilliams: Sigur, dacă parola este generată de oameni, atunci are de obicei mai puțină entropie și facilitează forțarea brută. Dar acum, fiecare manager de parole are o opțiune de a genera o parolă pentru anumite criterii (lungime, set de caractere etc.). De asemenea, unele browsere, de ex. FireFox, sugerează automat generarea unei parole pentru câmpurile de parolă. Deci parolele generate de oameni devin puțin mai puțin obișnuite
1
Răspunde
drapel cn
koko9l
Înțeleg că forțarea brută a unei parole lungi poate fi obositoare, dar întrebarea mea a fost mai degrabă despre ce produse oferă astfel de servicii? Sau care ar fi costul ca Azure să facă un atac bruteforce asupra parolei de 5 cifre? Deoarece puteți doar să oferiți o putere de calcul multor plăci grafice puse împreună
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.