Combinator Attack — Umfassende Operation

Referenzdokument des ProjektsTime2Crack
Empfänger: Entwickler, Sicherheitswissenschaftler, Fortgeschrittene

Inhalt

  • Überblick
  • Historischer und akademischer Hintergrund
  • Stiftungen: Vermittlung von wahrscheinlichen Token
  • Architektur eines modernen Combinator-Angriffs
  • Combinatorvs. robuste Passphrase
  • UmsetzungTime2Crack: addCombinatorAttacks()
  • SchlüsselraumkombinatorTime2Crack
  • Kalibrierung und Priorisierung
  • Benchmarks und Größenordnungen
  • Detaillierte Beispiele
  • Combinator Attack Limits
  • Effektive Verteidigung
  • Referenzen

    • 1. Überblick

    Der prägnante Combinator-Angriff von Wörterbucheinträgen zur Herstellung von Wirkstoffkandidaten (mot1+mot2, manchmal mit Varianten).

    2. Historischer und akademischer Hintergrund

    Wordlists von Lecks haben gezeigt, dass viele der kurzen menschlichen Passphrasen auf gemeinsame Wörter kombiniert verlassen. Kombinator-Motoren sind zu Standardziegel von Hashcat-Kampagnen geworden.

    3. Stiftungen: Vermittlung von wahrscheinlichen Token

    Wenn A und B zwei Sätze von Wörtern sind, ist der Nennraum |A| * |B|Der Gewinn kommt aus der probabilistischen Dichte: Häufige menschliche Kombinationen werden früh getestet.

    4. Architektur eines modernen Combinator-Angriffs

    1) Sélection de listes (mots courants, prénoms, contexte)
2) Tri par fréquence
3) Concaténation ordonnée (A+B, parfois B+A)
4) Ajout optionnel de règles simples
5) Test hash GPU

    5.Combinatorvs. robuste Passphrase

    Zwei gemeinsame konzedierte Worte bleiben verletzlich.

    Eine robuste Passphrase kombiniert mehrere seltene und unkorrelierte Wörter, die ideal zufällig generiert werden.

    6. Implementierung inTime2Crack: addCombinatorAttacks()

    Aktivierung bei:

  • oder common,
  • oder weak.

    • Kategorie: cat: "combi", Anmerkung: nPassphrase oder nNotPassphrase.

    7. Schlüsselraumkombinator inTime2Crack

    Das Modell verwendet COMBI_KEYSPACE und budgetTime(...), mit spezifischem Zweig für bestimmte gemeinsame Fälle.

    8. Kalibrierung und Priorisierung

    Bei hoher Treue wird die Kombinator-Kategorie bevorzugt, wenn die Passphrasenstruktur detektiert wird.

    9. Benchmarks und Größenordnungen

    Bei Hasch schnell können häufige Kombinationen sehr schnell getestet werden.

    Bei langsamem KDF verlangsamt die Kosten jedes Versuches den Angriff, entfernt aber keine strukturelle Verwundbarkeit.

    10. Praktische Beispiele

  • bluesky : Combinator-Präsentation.
  • horsebattery : exposé so häufig Wörter.
  • fjord-nectar-lotus-amber : deutlich beständiger.

    • 11. Einschränkungen des Combinator-Angriffs

  • geringe Leistung bei nicht-lexischen Geheimnissen,
  • Abhängigkeit von Originalwörtern,
  • die Ausbeute an langen und seltenen Passphrasen abnimmt.

    • 12. Wirksame Verteidigung

  • Lange Passagen seltener Worte.
  • Zufällige Generation über Manager.
  • Moderne KDF + MFA.

    • 13. Referenzen

  • Hashcat Wiki. https://hashcat.net/wiki/
  • Weir et al. (2009).
  • Aktuelle Literatur über Passphrasen und probabilistische Modelle (siehe docsTime2Crack)