אין סיבה קודם לבנות רשימה ואז לנסות לעבור עליה אתה לוקח ניחוש
בודק לוקח ניחוש הבא בודק.לגבי השאלה כמה צריך לבדוק בשניה. צריך קודם כל לדעת איך
בכלל בודקים האם ניחוש לססמא הוא נכון בכלל. אם בשביל לבדוק
ניחוש אנחנו חייבים להתחבר לשרת ולנסות להתאמת מולו, אזי התקפה
כזאת היא לא ריאלית לחלוטין, זמן בדיקת הסיסמא עשוי להמדד
בשניות ספורות, וסביר שלאחר מספר נסיונות כושלים החשבון ינעל.
אבל ברוב המקרים אנחנו מצליחים למצוא Hash של הססמא, תוצאה
של פונקציה חד כיוונית על הססמא. את הפונקציה החד כיוונית
אנו יודעים לחשב, אבל לא יודעים להפוך. אם יש לנו כזה דבר
אז בשביל לבדוק ניחוש אנחנו לא צריכים עזרה מאף אחד.
אנחנו מפעילים הפונקציה החד-כיוונית על הניחוש ומשווים למה
שמצאנו קודם.
יש מגוון רחב של פונקציות חד כיווניות בשימוש היום,
במערכות חלונות משתמשים במשהוא מטומטם למדיי מבוסס MD4 שלפרוץ
אותו זה דיי פשוט(אני לא מתעסק עם זה, זה קל מידי).
במערכות Unix השונות משתמשים בעיקר בפונקציה חד כיוונית
המבוססת על Des ובפונקציה חד כיוונית המבוססת על MD5,
הם שניהם מאוד שונים אבל במקרה זמן החישוב שלהם הוא דווקא דומה.
מהניסויים שאני עשיתי אני הצלחתי לחשב אחת מהפונקציות הנ"ל
בזמן של12000 פעולות. מה שאומר שאם יש לי מחשב P3-600 אני יכול
לחשב 50000 כאלו בשניה. ואם יש לי מחשב P4-2400 אני יכול לחשב
200000 כאלו בשניה.(למעשה קצת פחות כי פעולות של פנטיום 4
עושות פחות כל אחת מאצל פנטיום 3, ואני בדקתי בעיקר על פנטיום 3
)
בפועל אני נוהג להשתמש במספר מחשבים, ומשמש בכלים מיוחדים
שאני מפתח בשביל לשלב את כוח החישוב של הרבה מחשבים.
ובכלל אני בימינו מתעסק במחקר קצת יותר מתקדם שיאפשר
לעשות את הדברים האלו יותר מהר(הרבה הרבה יותר מהר)
DRYICE
נ.ב
לא הוספתי אפס, פשוט לא ציינתי שהכפלתי ב6 (האורך של כל ססמא).