Amit egy magyar tulajdonneveket tartalmazó szótárral felszerelt emailgenerátor alapú jelszótörő pillanatok alatt törni fog.
Oké, tegyük fel, hogy tudja, hogy e-mail cím alakú, magyar szótárat kell néznie, mert valahonnan tudja.
Az MTA szkennelve teszi fel a listát (no comment) és nincs kedvem OCR-ezni, de ránézésre oszloponként 50 név, egy oldalon 6 oszlop, ebből 7 ill. 9 oldal (férfi és női nevek). Most tartunk 4800 szónál, és ezek csak a keresztnevek. Az egyszerűség kedvéért számoljunk ugyanennyi lehetséges vezetéknévvel, csak az utóbbi ötven évben születettekkel és csak a hazai top három e-mail providerrel (freemail.hu, citromail.hu, gmail.com).
Így:
4800 * 4800 * 2 (keresztnév/vezetéknél sorrendje) * 3^2 (a két elválasztó karakter három körül választva: empty string, . és _) * 50 (az elmúlt 50 év évszámai) * 2 (négy ill. két jegyes évszám alakok) * 3 (e-mail domain). Elfogadva a cáfolatban szereplő 7 terahash/sec sebességet nézve (ami azért legalábbis kérdéses), valóban töredékmásodperc. DE! És itt jön be az, hogy végig azt mondtad, hogy a támadó fejével gondolkodjunk. Ha a támadó tényleg csak rápróbál az e-mail keresésre, akkor több száz nyelven kell az egy és két keresztnévvel rendelkezőket végigpróbálnia. Hirtelen 11 óránál járunk, csak a plusz 500 * 4801 szorzó miatt. És akkor feltételeztük, hogy a támadó 500 különböző szótárral (vagy legalábbis egy nyelvvel megjelölt szótárral) próbálkozik, ha egyben van a keresztnévlistája, akkor hirtelen az újabb 500-as szorzó miatt már 246 napnál járunk), és egyébként azt is, hogy mindenkinek a vezeték és keresztneve ugyanabból a nyelvből származik (hehe, ennyit arról a globalizáció árt a biztonságnak :) ). Ez már olyan szintű effort, amit per-hash nem fogja elindítani "hátha működik" alapon, csak úgy van értelme, ha nem salted DB kerül ki.
(ja, és ezt az egészet megint megfogja a becézett/alternatív magyar név, mert még mindig hülye a nyelvünk :), az István -> Pista alakot nem fogod kihozni automatizálva, utóbbi pedig nincs az MTA listáján...)
BlackY