Aannames die we moeten maken:

* Tekenset: De meest cruciale factor is welke tekens in het wachtwoord zijn toegestaan. We zullen een paar veelvoorkomende scenario's bekijken:

* Alleen kleine letters (a-z): 26 mogelijke karakters.

* Kleine letters en hoofdletters (a-z, A-Z): 52 mogelijke karakters.

* Letters en cijfers (a-z, A-Z, 0-9): 62 mogelijke karakters.

* Letters, cijfers en symbolen (a-z, A-Z, 0-9 en ~!@#$%^&*()_+=-`): Dit kan variëren afhankelijk van de specifieke toegestane symbolen, maar laten we uitgaan van ongeveer 95 tekens.

* Brute Force-aanval: We gaan ervan uit dat de computer alle mogelijke combinaties achter elkaar probeert. Dit is de meest fundamentele aanval.

* Wachtwoordkraaksnelheid: De snelheid waarmee een computer wachtwoorden kan proberen, varieert sterk, afhankelijk van de hardware (CPU, GPU), de gebruikte kraaksoftware en het algoritme dat wordt gebruikt om het wachtwoord te hashen. We schatten een reeks snelheden. Laten we bewerkingen per seconde bekijken:

* Langzaam: 1.000 wachtwoorden/seconde (een heel oud of zwak systeem)

* Gemiddeld: 1.000.000 wachtwoorden/seconde (een fatsoenlijke moderne CPU)

* Snel: 10.000.000.000 wachtwoorden/seconde (een krachtige GPU-installatie)

Berekeningen

1. Totaal mogelijke combinaties:

Het aantal mogelijke wachtwoorden wordt als volgt berekend:

`Karaktersetgrootte ^ Wachtwoordlengte'

Dus:

* Kleine letters (26):26 ⁴ =456.976

* Letters (52):52 ⁴ =7.311.616

* Letters en cijfers (62):62 ⁴ =14.776.336

* Letters, cijfers en symbolen (95):95 ⁴ =81.450.625

2. Gemiddelde tijd om te kraken:

Bij een brute-force aanval zal de computer gemiddeld halverwege de lijst met mogelijkheden het juiste wachtwoord vinden. We delen dus het totale aantal combinaties door 2 en delen dit vervolgens door de kraaksnelheid.

`Gemiddelde tijd =(totaalcombinaties / 2) / kraaksnelheid`

Resultaten (in seconden):

| Tekenset | Totaal Combinaties | Langzaam (1.000/sec) | Matig (1.000.000/sec) | Snel (10.000.000.000/sec) |

|--------------------|-------------------|------------------|--------------------|----------------------|

| Kleine letters (26) | 456.976 | 228 seconden | 0,228 seconden | 0,0000228 sec |

| Brieven (52) | 7.311.616 | 3656 seconden | 3,65 seconden | 0,000365 sec |

| Letters en cijfers (62) | 14.776.336 | 7388 seconden | 7,38 seconden | 0,000738 sec |

| Brieven enz. (95) | 81.450.625 | 40725 seconden | 40,72 seconden | 0,00407 sec |

Conversie naar begrijpelijkere eenheden

* Seconden / 60 =Minuten

* Minuten / 60 =Uren

* Uren / 24 =Dagen

| Tekenset | Langzaam (1.000/sec) | Matig (1.000.000/sec) |

|---------------------|-------------------|---------------------|

| Kleine letters (26) | 3,8 minuten | 0,228 milliseconden |

| Brieven (52) | 1.01 uur | 3,65 microseconden |

| Letters en cijfers (62) | 2.05 uur | 7,38 microseconden |

| Brieven enz. (95) | 11,3 uur | 40,72 microseconden |

Belangrijke overwegingen:

* Hashing-algoritmen: Het type hash-algoritme dat wordt gebruikt om het wachtwoord op te slaan, heeft een aanzienlijke invloed op de kraaktijd. Salting en sterke hash-algoritmen zoals bcrypt, Argon2 of scrypt maken het kraken veel moeilijker, zelfs met krachtige hardware. Bij de bovenstaande berekeningen wordt ervan uitgegaan dat de aanvaller wachtwoorden rechtstreeks kan testen. Als het wachtwoord goed gehasht is, moeten ze voor elke gok de hash-berekening uitvoeren, wat de zaken drastisch vertraagt.

* Woordenboekaanvallen: In plaats van brute forceren proberen aanvallers vaak eerst gewone woorden, namen en patronen uit. Dit kan veel sneller.

* Regenboogtafels: Vooraf berekende hashestabellen kunnen het kraken versnellen, vooral bij zwakkere hash-algoritmen.

* Snelheidslimiet: Veel systemen implementeren snelheidsbeperkingen, die het aantal toegestane wachtwoordpogingen binnen een bepaalde periode beperken. Dit vertraagt ​​effectief brute-force-aanvallen.

Samenvattend:

Een wachtwoord van vier tekens kan zeer snel worden gekraakt met moderne hardware, vooral als het een kleine tekenset gebruikt (zoals alleen kleine letters) en/of als de wachtwoordhashing zwak is. Een wachtwoord met een grotere tekenset (inclusief cijfers en symbolen) duurt langer, maar kan nog steeds kwetsbaar zijn. Dit is de reden waarom moderne wachtwoordaanbevelingen voor veel langere wachtwoorden gelden en het gebruik van sterke en goed gezouten hash-algoritmen.