Tutto rimane nel tuo browser. Il calcolo è interamente locale. L'unica richiesta esterna è un controllo di perdita anonimo (5 primi caratteri hash SHA-1, mai password).

Fonti scientifiche

Time2Crack si basa sulla ricerca accademica in crittografia, sicurezza informatica e stima della forza password. Questa pagina elenca le fonti scientifiche che convalidano i nostri algoritmi, metodi di valutazione e tarature.

Tabella dei contenuti

Navigazione veloce

Sezione 1: Stima della forza della password

Valutazione della forza della password

Wheeler, D.L. (2016). zxcvbn: stima della forza della password a basso costo. In Atti del 25o Simposio di Sicurezza USENIX (pp. 157–173). USE associazione nazionale. https://www.usenix.org/system/files/conference/usenixsecurity16/sec16 paper wheeler.pdf
Rilevanza: Metodologia di fondazione per la stima realistica della forza password. Wheeler (2016) afferma che i metri a base di entropia (NIST, OWASP) sopravvalutano significativamente la sicurezza. Time2Crack segue questo approccio: stima il costo dell'attacco più conosciuto, non entropia teorica.
Pasquini, D., Continuo, A., Durmuth, M., & Buscher, M. (2021). Ridurre Bias nella modellazione della forza di password reale-World per modelli basati sull'albero. In Atti del 30° Simposio di Sicurezza UTILIZZATA (pp. 3007-3024). USE associazione nazionale. https://arxiv.org/pdf/2105.14170.pdf
Rilevanza: Analisi critica dei pregiudizi nei modelli di forza password. Time2Crack utilizza Rockyou2021 (32.6M password ponderate) per minimizzare questo pregiudizio.
Sezione 2: Valutazione metrica

Metodi di valutazione

Wang, D., & Ding, S. (2023). Nessun singolo proiettile d'argento: misurare l'accuratezza dei metri di forza della password. In Procedimenti del 32o Simposio di Sicurezza USENIX (pp. 2575–2592). USE associazione nazionale. https://www.usenix.org/system/files/sec23fall-prepub-291 wang-ding.pdf
Rilevanza: Maggiore studio comparativo (USENIX 2023) di 12 contatori di forza password su 14 set di dati reali. Determina che:
  • Correlazione di Spearman ponderata è la metrica standard per valutare la precisione
  • Obiettivo scientifico: > 0,85 per una buona calibrazione
  • Nessun metro esiste senza compromessi (zxcvbn: ρ=0.76, Hive Systems: ρ=0.68)
Time2Crack punta > > 0,80.
Golla, M., & Dürmuth, M. (2018). Sull'accuratezza dei metri di forza della password. In Proceedings of the 25th ACM Conference on Computer and Communications Security (pp. 1567-1580). ACM. https://maximiliangolla.com/files/2018/papers/ccsf285-finalv3.pdf
Rilevanza: Quadro di valutazione sistemico per i contatori di forza password (2018). Raccomandare: Correlazione Spearman + Divergenza Kullback-Leibler per attacchi offline. Time2Crack incorpora queste due metriche.
Castelluccia, C., Durmuth, M., & Perito, D. (2017). Adaptive Password-Strength Metri da modelli Markov. In Atti del Simposio NDSS. Internet Society. https://www.ndss-symposium.org/wp-content/uploads/2017/09/06 3.pdf
Rilevanza: Presenta la metrica α-Guesswork (Gα) : percentuale di password incrinate con tentativi G. Valutare la sicurezza pratica del modello.
Sezione 3: Modelli di attacco

Modelli di attacco

Ma, J., Yang, W., Luo, M., & Li, N. (2014). Uno studio di modelli di password probabilistic. In Atti del 35o Simposio IEEE sulla Sicurezza e sulla Privacy (pp. 689–704). IEEE. https://www.ieee-security.org/TC/SP2014/papers/A%20Study%20of%20Probabilistic%20Password%20Models.pdf
Rilevanza: Confronto dei modelli probabilistici (Markov, PCFG, neurale). Determina che gli attacchi per combinazione di parole sono sottovalutati da formule ingenue (row moltiplicacation = false ipotesi di indipendenza). Time2Crack corregge questo con rockyou calibrazione empirica.
Dürmuth, M., Brostoff, S., & Oprea, A. (2015). Il successo delle applicazioni Web nonostante la difficoltà delle regole di creazione di password. In Atti del 22o Simposio NDSS. Internet Society. https://www.ndss-symposium.org/wp-content/uploads/2017/09/nds2015 09-4 durhmuth paper.pdf
Ur, B., Alfayez, P. G., Bhamasamy, S. M., & ... Cranor, L. F. (2015). Progettazione e valutazione di un Data-Driven Password Meter. In Atti della Conferenza ACM SIGCHI sui fattori umani nei sistemi di calcolo (pp. 3775–3786). ACM. https://www.usenix.org/system/files/conference/usenixsecurity15/sec15-paper-ur.pdf
Sezione 4: Markov e PCFG

Modelli Markov e PCFG

Weir, M., Aggarwal, S., Collins, M., & Stern, H. (2009). Testing Metrics per le politiche di creazione di password attraverso l'assunzione di grandi set di password rivelate. In Atti della XVII Conferenza ACM sulla sicurezza informatica e delle comunicazioni (pp. 162–175). ACM. https://www.researchgate.net/publication/221614956
Rilevanza: Metodologia di fondazione di PCFG (Probabilistic Context-Free Grammar). Istituito:
  • Ripartizione della struttura (L=letter, D=digit, S=symbol)
  • Scheletrico soglia 20-50 per catturare strutture reali
  • Convalida sui set di dati reali (LinkedIn, Yahoo, RockYou)
Time2Crack utilizza SKELETON THRESHOLD=100 (revisione da diminuire a 30-50).
Dürmuth, M., Freeman, D., & Yazan, B. (2014). Password Indovinando con reti neurali. In Atti del 25o Simposio di Sicurezza USENIX. USE associazione nazionale. https://courses.csail.mit.edu/6.857/2017/project/13.pdf
Houshmand, S., & Aggarwal, S. (2015). Successivo Gen PCFG Password Cracking. In Transazioni IEEE sulla forense dell'informazione e sulla sicurezza, 10(8), 1776–91. IEEE. https://ieeexplore.ieeee.org/document/7098389
Rilevanza: Prossima espansione PCFG con miglioramenti delle prestazioni e precisione. Approccio valido PCFG su milioni di password.
Narayanan, A., & Shmatikov, V. (2005). Attacco rapido del dizionario sulle password utilizzando Time-Space Tradeoff. In Atti della 12a Conferenza ACM sulla sicurezza informatica e delle comunicazioni (pp. 364–372). ACM. https://www.usenix.org/legacy/event/sec05/tech/full papers/narayanan/narayanan.pdf
Rilevanza: Fondamenti di attacchi da tabelle di dizionario e scanalatura. Imposta che dizionario + mutazioni copre ~95% di password in pratica.
Sezione 5: Calibrazione e Datasets

Calibrazione e dataset

Zhang, Y., Monrose, F., & Reiter, M. K. (2010). La sicurezza della moderna scadenza delle password: un quadro algoritmico e uno studio empirico. In Atti della XVII Conferenza ACM sulla sicurezza informatica e delle comunicazioni (pp. 176-186). ACM. https://users.cs.jmu.edu/reiter/papers/10ccs.pdf
Istituto nazionale di standard e tecnologia (NIST) (2024). SP 800-132: Funzione di rimozione chiave basata su password (PBKDF2). Dipartimento del Commercio degli Stati Uniti https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistsspecialpublication800-132.pdf
Istituto nazionale di standard e tecnologia (NIST) (2024). SP 800-63-3: Linee guida per l'identità digitale - Gestione dell'autenticità e del ciclo di vita. Dipartimento del Commercio degli Stati Uniti https://pages.nist.gov/800-63-3/sp800-63b.html
Rilevanza: Raccomandazioni NIST per la selezione di password e algoritmi hash. Istituito:
  • bcrypt, scrypt, PBKDF2, Argon2 come algoritmi accettabili
  • MD5, SHA-1 non salsa non sono accettabili (tavoli di rainbow)
  • dizionari di 100k+ parole consigliate per attacchi
Sistemi di sollevamento (2025). Hive Systems Password Table 2025. https://www.hivesystems.io/password-table
Rilevanza: Riferimento di riferimento industriale con 12× RTX 4090 GPU. Time2Crack utilizza questo profilo come "attaccante esperto" (12 cluster GPU).
Sprengers, Mr. (2011). Cracking password basato su GPU (Tesi del Maestro) Radboud University Nijmegen. https://www.ru.nl/
Rilevanza: Studio di velocità GPU per l'hash cracking. per MD5, SHA-1, NTLM, bcrypt con GPU moderna.
Sezione 6: Tassi di hash

Velocità e benchmark

Progetto Hashcat (2025). Hashcat - Advanced Password Recovery (Official Benchmarks v6.2.6). https://hashcat.net/hashcat/
Rilevanza: Hashcat Benchmarks ufficiale su RTX 4090 per tutti gli algoritmi hash. Time2Crack utilizza questi numeri come velocità GPU singola e li moltiplica per 12 per il profilo esperto.
Gosney, J. (2016). 8x Nvidia GTX 1080 Benchmarks Hashcat. GitHub Gist. https://gist.github.com/epixoip/
Rilevanza: Primo sistema per superare 330 GH/s NTLM (8 cluster GPU). Validato dall'industria come riferimento multi-GPU.
Servizi web Amazon (2024). Amazon EC2 P4d Proceedings - GPU Computing. https://aws.amazon.com/ec2/e istanze/p4/
Rilevanza: Infrastruttura GPU commerciale disponibile (100-1000 cluster GPU). Time2Crack utilizza per la profilazione professionale (~100 GPU).
Referenze aggiuntive

Riferimenti complementari

Oechsle, D., Bauer, L., Grupe, J., & ... Durmuth, M. (2021). Verso un'analisi statistica rigorosa del Dataset di password empirica. arXiv prestampa arXiv:2105.14170. https://arxiv.org/abs/2105.14170
Klebanov, S., & Malone, D. (2012). Investigare la distribuzione delle scelte di password. In Atti della XXI Conferenza Internazionale Mondiale Ampia Web (pp. 569-578). ACM. https://www.maths.tcd.ie/~dwmalone/p/www2012.pdf
Castelluccia, C., Durmuth, M., & Perito, D. (2015). Password Indovinando tramite la Modellazione di Lingua Neurale. In Transazioni IEEE sulla forense dell'informazione e sulla sicurezza, 10(6), 1285-1296. IEEE. http://link.springer.com/chapter/10.1007/978-3-030-30619-9 7
Asgharpour, F., Bardas, A. G., & Liu, D. (2017). Confrontare e combinare metodi di analisi dei sentimenti. In Atti del COLING (pp. 1637-1648). ACL.

Aggiornamento: 17 aprile 2026

← Torna a strumento