在linkedin 密码哈希泄露之后,我一直在研究我们的密码哈希。我们使用 Django 1.4,它使用 PBKDF2,它很棒,并且比之前的 SHA1 更上一层楼。
然而,我很好奇一个人可以多么容易地暴力破解它。我正在查看我们的密码复杂性规则,并且想知道执行(例如)8 个长度的小写 ascii 字母需要多快。
这个破解 LinkedIn 密码哈希的指南,有人在 GPU 上每秒执行 4.3 亿次 sha1 哈希。 http://erratasec.blogspot.ie/2012/06/linkedin-vs-password-cracking.html你会为 PBKDF2 获得什么样的速度?
有没有人有任何粗略的/大致的/大概的数字来说明暴力破解 PBKDF2 的速度有多快?
最佳答案
有一个writeup over at agilebits从 2 月份开始进行餐巾纸计算。精简版:
As a ball park figure, I'm going to say 10,000 PBKDF2 iterations leads to tens of or hundred of milliseconds to test a password for a very high-end consumer system. What we are doing with PBKDF2 is reducing things from a million tests per second to a few hundred. This is taking into account specialized software that makes use of multiple cores and multiple GPUs.
因此,以您在 gpu 上每秒对 4.3 亿个 SHA-1 哈希进行基准测试的 erratasec 文章作为基准——agilebits 文章显示的指标表明,具有 10k 次迭代的 PBKDF2 会将其降低到每秒 100k 次左右的测试。
远非科学,但让我们进入了球场......
关于security - 你能以多快的速度对 PBKDF2 进行暴力破解?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/11298184/