Wszystko zostaje w twojej przeglądarce. Nie jest przekazywane żadne hasło. Obliczenia są w całości lokalne. Jedynym zewnętrznym żądaniem jest anonimowe sprawdzenie przecieku (5 pierwszych znaków shash SHA-1, nigdy hasła).

Źródła naukowe

Time2Crack opiera się na badaniach naukowych w kryptografii, bezpieczeństwa komputera i oszacowanie siły hasłem. Ta strona zawiera listę źródeł naukowych, które potwierdzają nasze algorytmy, metody oceny i kalibracje.

Spis treści

Szybka nawigacja

Sekcja 1: Szacunkowa moc hasła

Szacowanie siły hasła

Wheeler D.L. (2016). zxcvbn: Szacunkowa moc hasła w budżecie. W Działalność 25. Sympozjum Bezpieczeństwa USENIX (s. 157- 173). Stowarzyszenie USENIX. https: / / www.usenix.org / system / files / conference / usenixsecurity16 / sec16 paper wheel.pdf
Znaczenie: Metodologia zakładania realistycznego oszacowania siły hasła. Wheeler (2016 r.) stwierdza, że liczniki oparte na entropii (NIST, OWASP) znacznie przewyższają poziom bezpieczeństwa. Time2Crack postępuje zgodnie z tym podejściem: oszacować koszt najbardziej znanego ataku, a nie teoretycznej entropii.
Pasquini, D., Continuously, A., Durmuth, M., & Buscher, M. (2021). Redukcja Bias w Modeling Real- World Hasło Siła dla modeli opartych na drzewach. W Działalność 30. sympozjum bezpieczeństwa USENIX (s. 3007- 3024). Stowarzyszenie USENIX. https: / / arxiv.org / pdf / 2105.14170.pdf
Znaczenie: Krytyczna analiza uprzedzeń w modelach siły hasła. Time2Crack używa rockyou2021 (32.6M ważonych haseł) aby zminimalizować tę stronniczość.
Sekcja 2: Ocena metryczna

Metody oceny

Wang, D., & Ding, S. (2023). Brak jednej srebrnej kuli: pomiar dokładności mierników siły haseł. W Działalność 32. sympozjum bezpieczeństwa USENIX (s. 2575- 2592). Stowarzyszenie USENIX. https: / / www.usenix.org / system / files / sec23fall- prepub- 291 wang- ding.pdf
Znaczenie: Główne badanie porównawcze (USENIX 2023) obejmujące 12 liczników mocy hasła z 14 rzeczywistych zbiorów danych. Określa, że:
  • Stosowana korelacja Spearman jest standardową miarą do oceny dokładności
  • Cel naukowy: ↔ > 0,85 dla dobrej kalibracji
  • Nie istnieje licznik bez kompromisu (zxcvbn: ∞ = 0,76, Hive Systems: В = 0,68)
Time2Crack ma na celu ∞ > 0,80 ogółem.
Golla, M., & Dürmuth, M. (2018). On the Accuracy of Hasło Siła Metrów. W Działalność 25. Konferencji ACM na temat bezpieczeństwa informatycznego i komunikacyjnego (s. 1567- 1580). ACM. https: / / maximiliangolla.com / files / 2018 / papers / ccsf285-finalv3.pdf
Znaczenie: Systematyczne ramy oceny dla liczników mocy hasła (2018). Zalecam: korelacja Spearman + Kullback- Rozbieżność Leibler dla ataków offline. Time2Crack zawiera te dwa mierniki.
Castelluccia, C., Durmuth, M., & Perito, D. (2017). Adaptive Password- Siła Metrów z modeli Markov. W Działalność sympozjum NDSS. Społeczeństwo internetowe. https: / / www.ndss- symposium.org / wp- content / uploads / 2017 / 09 / 06 3.pdf
Znaczenie: Wprowadza metrykę α- Guesswork (Gα) : odsetek haseł pękniętych próbami G. Ocena praktycznego bezpieczeństwa modelu.
Sekcja 3: Modele ataku

Modele ataku

Ma, J., Yang, W., Luo, M., & Li, N. (2014). A Study of Probabilistic Password Models. W Działalność 35. Sympozjum IEEE na temat bezpieczeństwa i prywatności (s. 689- 704). IEEE. https: / / www.ieee- security.org / TC / SP2014 / papers / A% 20Study% 20of% 20Probabilistic% 20Password% 20Models.pdf
Znaczenie: Porównanie modeli probabilistycznych (Markov, PCFG, neuron). Ustalenia, że ataki przez kombinację słów są niedoceniane przez naiwne formuły (mnożenie wierszy = hipoteza fałszywej niezależności). Time2Crack koryguje to kalibracją empiryczną.
Dürmuth, M., Brostoff, S., & Oprea, A. (2015). Sukces aplikacji internetowych pomimo trudności zasad tworzenia haseł. W Działalność 22. Sympozjum NDSS. Społeczeństwo internetowe. https: / / www.ndss- symposium.org / wp- content / uploads / 2017 / 09 / ndss2015 09- 4 durhmuth paper.pdf
Ur, B., Alfayez, P. G., Bhamasami, S. M., &... Cranor, L. F. (2015). Projektowanie i ocena licznika haseł Data- Driven. W Działalność Konferencji ACM SIGCHI na temat czynników ludzkich w systemach obliczeniowych (s. 3775- 3786). ACM. https: / / www.usenix.org / system / files / conference / usenixsecurity15 / sec15- paper- ur.pdf
Sekcja 4: Markov i PCFG

Modele Markov i PCFG

Weir, M., Aggarwal, S., Collins, M., & Stern, H. (2009). Testing Metrics for Password Creation Policies by attaking large sets of Revealed Passwords. W Działalność 17. Konferencji ACM na temat bezpieczeństwa informatycznego i komunikacyjnego (s. 162- 175). ACM. https: / / www.research chgate.net / publication / 221614956
Znaczenie: Metodologia zakładania PCFG (Probabilistic Context- Free Grammar). Ustanowiono:
  • Podział struktury (L = litera, D = cyfra, S = symbol)
  • Próg Szkielet 20- 50 do uchwycenia rzeczywistych struktur
  • Walidacja rzeczywistych zbiorów danych (LinkedIn, Yahoo, RockYou)
Time2Crack używa SKELETON THRESHOLD = 100 (zmiana do zmniejszenia do 30- 50).
Dürmuth, M., Freeman, D., & Yazan, B. (2014). Password Guessing z sieci neuronowych. W Działalność 25. Sympozjum Bezpieczeństwa USENIX. Stowarzyszenie USENIX. https: / / courses.csail.mit.edu / 6.857 / 2017 / project / 13.pdf
Houshmand, S., & Aggarwal, S. (2015). Następny Generał PCFG Hasło Cracking. W Transakcje IEEE na ekspertyzy i bezpieczeństwo informacji, 10 ust. 8, 1776- 91. IEEE. https: / / ieeexplore.ieee.org / document / 7098389
Znaczenie: Ekspansja PCFG-Gen z poprawą wydajności i dokładności. Ważne podejście PCFG na miliony haseł.
Narayanan, A., & Shmatikov, V. (2005). Szybki Dictionary Atakuje hasła używając time- Space Tradeoff. W Działalność dwunastej konferencji ACM na temat bezpieczeństwa informatycznego i komunikacyjnego (s. 364- 372). ACM. https: / / www.usenix.org / legacy / event / sec05 / tech / full papers / narayanan / narayanan.pdf
Znaczenie: Fundamenty ataków słowników i tabel rowków. Ustawia, że słownik + mutacje obejmuje ~ 95% haseł w praktyce.
Sekcja 5: Kalibracja i zestawy danych

Kalibracja i zbiór danych

Zhang, Y., Monrose, F., & Reiter, M. K. (2010). The Security of Modern Password Expiration: An Algorithmic Framework and Empirical Study. W Działalność 17. Konferencji ACM na temat bezpieczeństwa informatycznego i komunikacyjnego (s. 176- 186). ACM. https: / / users.cs.jmu.edu / reiter / papers / 10ccs.pdf
Krajowy Instytut Norm i Technologii (NIST) (2024). SP 800- 132: Based Password- Key Derivation Function (PBKDF2). Departament Handlu Stanów Zjednoczonych https: / / nvlpubs.nist.gov / nistpubs / Legacy / SP / nistsspecilation800- 132.pdf
Krajowy Instytut Norm i Technologii (NIST) (2024). SP 800- 63-3: Wytyczne dotyczące tożsamości cyfrowej - Uwierzytelnianie i zarządzanie cyklem życia. Departament Handlu Stanów Zjednoczonych https: / / pages.nist.gov / 800- 63-3 / sp800- 63b.html
Znaczenie: Zalecenia NIST do wyboru haseł i algorytmów. Ustanowiono:
  • bcrypt, scrypt, PBKDF2, Argon2 jako dopuszczalne algorytmy
  • MD5, SHA-1 niesolone są niedopuszczalne (tabele tęczowe)
  • słowniki 100k + zalecane słowa do ataków
Systemy Hive (2025). Hive Systems Hasło Tabela 2025. https: / / www.hivesystems.io / password- table
Znaczenie: Wskaźnik odniesienia dla przemysłu przy 12 × RTX 4090 GPU. Time2Crack wykorzystuje ten profil jako podstawowy "doświadczony napastnik" (12 GPU klaster).
Sfengers, panie (2011). Pęknięcie hasłem oparte na GPU- (Teza Mistrza) Radboud University Nijmegen. https: / / www.ru.nl /
Znaczenie: Badanie szybkości GPU dla hash cracking. Ustawia wartości odniesienia dla MD5, SHA-1, NTLM, krypt z nowoczesnym GPU.
Sekcja 6: Stawki haszowe

Prędkość i wartości odniesienia dla hash

Projekt Hashcat (2025). Hashcat - Advanced Hassword Recovery (Official Benchmarks v6.2.6). https: / / hashcat.net / hashcat /
Znaczenie: Oficjalne wskaźniki Hashcat na RTX 4090 dla wszystkich algorytmów hash. Time2Crack wykorzystuje te numery jako pojedyncze prędkości GPU i mnoży je przez 12 dla doświadczonego profilu.
Gösney J. (2016). 8x Nvidia GTX 1080 Hashcat Benchmarks. GitHub Gist. https: / / gist.github.com / epixoip /
Znaczenie: Pierwszy system przekraczający 330 GH / s NTLM (8 GPU klaster). Zatwierdzone przez przemysł jako odniesienie wieloGPU.
Amazon Web Services (2024). Amazon EC2 P4d Proceedings - GPU Computing. https: / / aws.amazon.com / ec2 / e Instance-types / p4 /
Znaczenie: Dostępna komercyjna infrastruktura GPU (100- 1000 klastrów GPU). Time2Crack wykorzystuje do profesjonalnego profilowania (~ 100 GPU).
Dodatkowe odniesienia

Dodatkowe odniesienia

Oechsle, D., Bauer, L., Grupe, J., &... Durmuth, M. (2021). W kierunku rygorystycznej analizy statystycznej Empirical Hasło Dataset. preprint arXiv arXiv: 2105.14170. https: / / arxiv.org / abs / 2105.14170
Klebanov, S., & Malone, D. (2012). Badanie dystrybucji haseł. W Proceedings of the 21st International World Wide Web Conference (s. 569- 578). ACM. https: / / www.maths.tcd.ie / ~ dwmalone / p / www.europa.eu.int 2012.pdf
Castelluccia, C., Durmuth, M., & Perito, D. (2015). Password Guessing poprzez Modeling Języka Neuralnego. W Transakcje IEEE na ekspertyzy i bezpieczeństwo informacji, 10 ust. 6, 1285- 1296. IEEE. https: / / link.springer.com / chapter / 10.1007 / 978-3-030-30619-9 7
Asgharpour, F., Bardas, A. G., & Liu, D. (2017). Porównywanie i łączenie metod analizy uczuć. W Działalność COLING (s. 1637- 1648). ACL.

Aktualizacja: 17 kwietnia 2026

← Powrót do narzędzia