<div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div>Hello folks,</div><div><br></div><div>I thought I would terrify everyone with some figures I have recently come across.</div><div><br></div><div>

<div>Remember this?
 <a href="https://xkcd.com/936/" title="http://xkcd.com/936/" target="_blank" rel="noreferrer noopener">https://xkcd.com/936/</a>

</div><div><font size="2">The claim is that "CorrectHorseBatteryStaple" is 
<font size="2">2^44 of entropy</font> 

and would take 550 years to crack.</font></div><div><font size="2">But how long would it take really? How terrifying is 87 seconds at <i>200 billion per second</i>.</font></div><div><font size="2">And what does one need to get that rate? Highly specialised ASICs managed by a fleet of supercomputers?</font></div><div><font size="2">No. How's about some commodity GPUs (8 GTX1080) and software from GitHub:</font></div><div>

<ul><li><font size="2"><a href="https://gist.github.com/epixoip/a83d38f412b4737e99bbef804a270c40">https://gist.github.com/epixoip/a83d38f412b4737e99bbef804a270c40</a></font>

</li><li><font size="2"><a href="https://github.com/hashcat/hashcat">https://github.com/hashcat/hashcat</a><br></font></li></ul></div>I shudder to think what could be done with more modern GPUs.</div><div><br></div><div>This can all be defended against; salt, pepper, treacle (functions like Argon2 which are memory hard), layers (hashing again and again and again and...) etc. Luckily modern systems don't rely on just your password, which is why you often get then "Hey, we don't recognise this device" tpye check and the use of two-factor for many things.<br></div><div><br></div><div>Once you've done all that though, it can all be undone with a simple wrench: 
<a href="https://xkcd.com/538/" title="http://xkcd.com/936/" target="_blank" rel="noreferrer noopener">https://xkcd.com/538/</a><br></div><div><br></div><div>J.<br></div></div></div></div></div>