Thí nghiệm sự khác nhau giữa mật khẩu mạnh và mật khẩu yếu

Kiểu tấn công Offline tạo điều kiện cho kẻ phá password, vì hắn có thể thử số lượng mật khẩu rất lớn cho đến khi tìm ra được mới thôi.

Đây là 2 folder ban đầu của tôi:

Giờ tôi sẽ nén từng folder lại với mật khẩu mạnh, yếu tương ứng với tên của từng thư mục:

• Thử mọi trường hợp của mật khẩu (Try All Possible Combinations): cái này thì ăn chắc sẽ tìm ra, nhưng vấn đề là nếu mật khẩu khó thì ngàn năm mới tìm ra được!
• Cũng tấn công mạnh như trường hợp thứ nhất nhưng có bổ sung thêm các mật khẩu trong kho dữ liệu (Some Password Characters are Known).
• Dựa trên từ điển (Dictionanry Attack): cái này có thời gian tìm nhanh nhất, nhưng chỉ tìm được mật khẩu nào nằm trong từ điển.

Quy trình của kẻ tấn công dò mật khẩu thường là:

• Khai thác thông tin cá nhân để thử các mật khẩu liên quan đến tiểu sử.
• Sử dụng danh sách các mật khẩu thường được sử dụng nhất.
• Sau khi thất bại với 2 cái trên chúng sẽ dùng từ điển để dò.
• Nếu từ điển cũng thất bại nốt thì phải thử mọi khả năng có thể có của mật khẩu.

Sau 16s nó đã thử được hơn 2300 mật khẩu

Gần 2 phút đã thử được gần 14.000 mật khẩu

Và cuối cùng, cái gì phải đến đã đến…

Sau 2 phút 17 giây và 15.936 mật khẩu đã thử, chương trình đã tìm ra mật khẩu để mở file nén (recovered successfully!)

Phần 2, chúng ta tiến hành phá file nén Mat_khau_manh.rar với kiểu tấn công mạnh nhất có thể vì mật khẩu này không tuân theo quy luật và có ký tự đặc biệt (mà chắc chắn dò bằng từ điển sẽ thất bại)…

Sau 30 phút chúng ta không thấy bất cứ dấu hiệu nào cho thấy khả năng sẽ tìm ra mật khẩu:

30 phút 43 giây với gần 242 ngàn mật khẩu đã thử nhưng đều thất bại

Để kiểm tra xem với mật khẩu như trên sẽ mất khoảng thời gian bao lâu để phá, mời bạn theo liên kết này: https://www.grc.com/haystack.htm. Với một máy tính siêu mạnh cũng phải mất hơn 45.77 năm để tìm ra mật khẩu trên, đó là lý do vì sao sau 30 phút bạn vẫn không thấy bấy cứ điều gì !!!