Hoe Time2Crack de kraaktijd berekent

Volledige gids voor wetenschappelijke en technische operaties

Overzicht

Time2Crack beantwoordt een eenvoudige vraag: Hoe lang duurt het om dit wachtwoord te kraken?

Het antwoord omvat drie stappen:

PASS MOT (bv. "P@ssw0rd!") ▼ STAP 1: Analyse (patroondetectie, entropie) ▼ STAP 2: Geschat aantal pogingen (bereik) ▼ STAP 3: Tijdconversie (gebaseerd op GPU snelheid) ▼ Als gevolg daarvan (bv. "2 dagen op GPU NTLM")

Kritisch punt : Time2Crack-tests Niet echt. Het wachtwoord. wiskundig hoeveel pogingen nodig zouden zijn met verschillende aanvallen.

De belangrijkste innovatie is de strikte scheiding tussen Rang (aantal pogingen) en Tijd Dit maakt het mogelijk om aanvalsalgoritmen of GPU snelheden onafhankelijk te wijzigen.

Berekeningsstroom

Voornaamste berekeningsstroom

calcCrackTime(wachtwoord, opties) [core/calc.js] Promotie - analysePatterns(wachtwoord) │ Promotie Ü--schattingRank(wachtwoord, context) │ Ã - rankBrute() → tanklengte │ ç - rangDictionary() → woordenboek + HIPP │ ç - rangHybrid() → woordenboek + mutaties │ Ã - rangMask() → voorspelbare structuren │ Ü - RankMarkov() → probabilistisch model │ ç - rangPCFG() → grammatica Promotie │ Promotie - RangToAllSeconds(rank) - Converteert pogingen → seconden (GPU snelheid) - Return: { md5, sha1, sha256, ntlm, bcrypt, argon2 }

Twee lagen architectuur

Time2Crack's belangrijkste innovatie is strikte scheiding tussen:

1Laag 1 (rang)

"Hoeveel pogingen?" hebben geen idee van GPU tijd of snelheid. Modules: core/rank/*.js

2Laag 2 (tijd)

"Hoe lang?" Omzetten pogingen in seconden. Module: core/time.js

Voordeel : Het veranderen van het algoritme van een aanval heeft nooit invloed op de logica van de tijd.

Stap 1

Stap 1: Wachtwoordanalyse

Wat analyseren we?

Voordat de cracktijd wordt berekend, ontleedt Time2Crack het wachtwoord om te detecteren:

analyzePatterns(password) retourne {
  // CHARSET & ENTROPIE
  charset: { hasLower, hasUpper, hasDigit, hasSymbol },
  entropy: 52.3,  // bits

  // DÉTECTIONS
  patterns: {
    dictionaryWord: true,      // mot dans dictionnaire
    commonPassword: false,     // dans HIBP
    keyboardPattern: false,    // qwerty, asdfgh
    sequencePattern: false,    // abc, 123
    datePattern: false,        // 2024, 12/25
    repeatingPattern: false,   // aaaa, 1111
    maskLike: true,            // structure prévisible
    looksPassphrase: true,     // plusieurs mots
  }
}

De 8 soorten detecties

1 Woordenboekwoord

Test het wachtwoord tegen 50k-200k gewone woorden en hun varianten (eenvoudige mutaties).

2 Gemeenschappelijk wachtwoord (HIBP)

Test tegen de 1000 meest ontsnapte wachtwoorden met behulp van de k-anonimiteit (slechts 5 eerste SHA-1 tekens verzonden).

Controleer of uw wachtwoord is gehackt →

3 Toetsenbordpatroon

Detecteren: qwerty, asdfgh, qazwsx, enz.

4 Volgnummer

Detecteren: abc, 123, xyz, enz.

5 Datum

Detecteren: 2024, 12/25, 25-12-2024, enz.

6 Herhaal

Detecteren: aaaa, 1111, !!!, enz.

7 Gestructureerd

Detecteert te verwachten structuren: Name2024!, Passw0rd!

8 Uitdrukking

Detecteert verschillende samengevoegde woorden: correcthorsebatterystaple → [correct] + [horse] + [battery] + [staple]

Stap 2

Stap 2: Rangschatting (aantal pogingen)

Basisconcept

De rij is: "Hoeveel wachtwoorden moet een aanval testen voordat je het vindt?"

Voorbeeld

Brutosterkte voor abc : 263 = 17,576 pogingen
Woordenboek voor password : ~1 poging
PCFG voor Password123 : ~1011 pogingen

Hoe kies je de winnende aanval?

Time2Crack lanceert de 7 parallelle aanvallen en neemt het beste resultaat:

const results = {
  brute:      { rank: 1e30 },
  dictionary: { rank: 1e6 },      // GAGNANT
  hybrid:     { rank: 1e7 },
  mask:       { rank: 1e8 },
  markov:     { rank: 1e9 },
  pcfg:       { rank: 1e11 },
  combinator: { rank: 1e12 },
};

const best = Math.min(...Object.values(results).map(r => r.rank));
// → 1e6 (Dictionary attack est la plus rapide)

Stap 3

Stap 3: Conversie naar tijd

Het concept

Nu we weten dat we moeten rang pogingen, we converteren naar seconden :

Formule : temps (secondes) = log₁₀(rang) / log₁₀(taux_hachage)

Hashing snelheden (GPU)

Time2Crack-toepassingen echte snelheden Hashcat voor 12× RTX 4090:

Algoritme	Snelheid	Salificatie
MD5	2,03 TH/s	Nee
SHA-1	610 GH/s	Nee
SHA-256	272 GH/s	Nee
NTLM	3,46 TH/s	Nee
bcrypt	2,2 MH/s	Ja.
Argon2id	800 H/s	Ja.

Voorbeeld van conversie

Wachtwoord: "wachtwoord" (rang: 1 miljoen = 106)

Voor MD5 (2 biljoen/sec):

Temps = 10⁶ / (2×10¹²) = 0.5 microsecondes

Voor SHA-256 (272 GH/s):

Temps = 10⁶ / (2.72×10¹¹) = 3.7 microsecondes

Voor bcrypt (2,2 MH/s):

Temps = 10⁶ / (2.2×10⁶) = 0.45 secondes

Voor Argon2id (800 H/s):

Temps = 10⁶ / 800 = 1 250 secondes = 21 minutes

De 7 aanvallen

De 7 uitgevoerde aanvallen

1 Brutokracht

Onderwerp : Test alle mogelijke combinaties

Formule : rang = charset_size ^ length

Voorbeeld : abc → 263 = 17,576 pogingen

Zeer effectief voor : korte en willekeurige wachtwoorden

Meer informatie over Brute Force →

2 Woordenboekaanval

Onderwerp : Test elk woord in het woordenboek

Formule : rang = taille_dictionnaire

Zeer effectief voor Menselijke woorden

Meer informatie over woordenboekaanval →

3 Hybride aanval

Onderwerp : Woordenboek Word + eenvoudige mutaties

Formule : rang = taille_dictionnaire × nombre_mutations (~1000)

Zeer effectief voor : woordenboek woorden + kleine wijzigingen

Meer informatie over Hybrid Attack →

4 Maskeraanval

Onderwerp : Test voorspelbare structuren

Zeer effectief voor : menselijke structuren (Name2024, Password!)

Meer informatie over Maskeraanval →

5 Model Markov

Onderwerp : Statistische benadering gebaseerd op n-gramfrequenties

Zeer effectief voor Menselijke woorden verminderde ruimte met ~99%

Meer informatie over Markov Model →

6 PCFG

Onderwerp : Grammatisch model dat structuren leert

Echt voorbeeld

Password123 :

Bruto sterkte: 9411 = 475 biljoen pogingen
PCFG: ~100 biljoen pogingen (4.700× sneller!)

Meer informatie over PCFG →

7 Combineraanval

Onderwerp : Samenvoeging van 2+ woordenboek woorden

Zeer effectief voor : wachtwoordzinnen (4+ woorden)

Meer informatie over Combiner Attack →

Algoritmen

De 6 hash algoritmen

Waarom zes?

Verschillende algoritmen bieden verschillende niveaus van beveiliging. Time2Crack toont crack tijden voor de 6 om de impact van de algoritme keuze te tonen.

MD5 (GEDEPRECTEERD)

Snelheid : 2 TH/s (zeer snel)
Salificatie Nee
Status - Niet gebruiken

SHA-1 (GEDEPRECTEERD)

Snelheid : 610 GH/s
Salificatie Nee
Status - Botsingen gevonden (2017)

SHA-256 (aanvaardbaar)

Snelheid : 272 GH/s
Salificatie : Algemeen ja
Status - Aanvaardbaar indien met SALT + iteratie

NTLM (LEGACY)

Snelheid : 3,46 TH/s
Status - Gebruikt in Windows nalatenschap

bcrypt (GENOMEN)

Snelheid 2.2 MH/s (opzettelijk langzaam)
Salificatie : JA
Status * Uitstekend voor productie

Argon2id (beter)

Snelheid 800 H/s (zeer langzaam = zeer veilig)
Type : Hybrid (tijd + geheugen)
Status Beste moderne keuze (NIST 2021)

Moderne algoritmen zijn opzettelijk langzaamHet is een functie, geen bug! MD5 is snel (slecht), bcrypt is traag (uitstekend), Argon2id is nog langzamer (beste).

Profielen

Aanvalsprofielen

Onderwerp

Verschillende aanvallers hebben verschillende bronnen. Time2Crack modellen 4 profielen:

Profiel	GPU's	NTLM	Gebruik
Amateur	1	288 GH/s	Hobbyisten
Ervaren	12	3,46 TH/s	Ernstige crackers
Professioneel	100	28,8 TH/s	Bedrijven, AWS clusters
Staat	~10k	2,88 PH/s	Regeringen

Concrete impact

Wachtwoord: "P@ssw0rd" (10 tanks, rij: 1 biljoen)

Amateur 44 seconden
Ervaren 3,7 seconden
Professioneel : 0,43 seconden
Staat 4,4 milliseconden

Onderwijs : Zelfs een "sterk" wachtwoord kan worden gekraakt in milliseconden door een natie-staat!

Voorbeeld

Concrete voorbeeld: Tr0ub4dor&3

Het is het filmwachtwoord. "Correct Horse Battery Nieten" Eens kijken wat Time2Crack doet:

Stap 1: Analyse

• length : 11 caractères
• charset : 94 caractères
• entropy : ~64 bits
• dictionaryWord : FALSE
• commonPassword : FALSE
• maskLike : TRUE
• looksPassphrase : FALSE

Stap 2: Rangschatting

Brute Force  : 94^11 ≈ 475 trillion
Dictionary   : ∞ (pas dans dictionnaire)
Mask         : ≈ 1.4 trillion
Markov       : ≈ 10 trillion
PCFG         : ≈ 50 billion (GAGNANT)
Combinator   : ∞

Stap 3: Conversie naar tijd

Resultaten voor 50 miljard pogingen

MD5 : 0,025 seconden
SHA-256 0,18 seconden
bcrypt 6,3 uur
Argon2id 2 jaar

Conclusie

• Veilig tegen bcrypt/Argon2id (uren → jaren)

Veelgestelde vragen

V: Test Time2Crack het wachtwoord eigenlijk?

Nee. Time2Crack verstuurt niet Nooit uw wachtwoord naar een server.

Alle berekeningen zijn uitgevoerd Lokale in de browser
Alleen netwerkgesprek: HIPB controleert met k-anonimiteit
Geen volledige wachtwoordoverdracht

Meer informatie over ons privacybeleid →

V: Waar komen GPU snelheidsnummers vandaan?

Officiële benchmarks voor Hashcat (v6.2.6) betreffende RTX 4090:

Laboratoriummetingen
Openbaar domein
Uitlijning met bijenkorven 2025

V: Waarom is Argon2id zo traag?

Het is opzettelijk.. Argon2id is ontworpen om langzaam te zijn, geheugen-hard, en moeilijk te paralleliseren. Dit dwingt aanvallers om veel middelen te gebruiken.

V: Kunnen we een 100% "veilig" wachtwoord verbeteren?

NeeZelfs het beste wachtwoord kan worden gestolen of geraden. Defensieve strategie :

Goed wachtwoord (15+ willekeurige tekens)
Multifactorauthenticatie
Wachtwoordbeheer
Controle van inbreuken (Heb ik geklaagd)

V: Hoe kan ik mijn wachtwoord verbeteren?

Eenvoudige regels :

Lengte : 15+ karakters (groter dan complexiteit)
Willekeurig : Wachtwoordbeheer gebruiken
Uniek : Ander wachtwoord per site
MVO : 2FA-authenticatie inschakelen indien mogelijk

Conclusie

Time2Crack werkt in 3 onveranderlijke stappen :

1. ANALYSE       → Détecte patterns (dictionnaire, keyboard, etc.)
2. RANG          → Estime tentatives nécessaires (7 attaques)
3. TEMPS         → Convertit tentatives en secondes (GPU speeds)

Kerninnovatie : Rigoreuze scheiding tussen rij (aanval) en tijd (GPU), waardoor:

Eenvoudige update van GPU snelheden
Eenvoudige toevoeging van nieuwe aanvallen
Modulaire en testbare architectuur

Resultaat : Raming precies, Offline, meertalig Tijd om een wachtwoord te kraken.

↑ Terug naar boven