فرض کنید کاربر یک رمز عبور برای ورود به کامپیوتر خود استفاده می کند. هنگامی که کاربر وارد سیستم می شود، کامپیوتر یک تابع رمزنگاری را به رمز عبور می دهد و متن رمز را به متن رمز ذخیره شده رمز عبور شناخته می کند (این تابع رمزنگاری می تواند "سخت" باشد تا حملات خشونت آمیز مشکل باشد). مهاجم دسترسی فیزیکی به دستگاه را به دست آورد، از جمله رمز عبور رمز عبور ذخیره شده – به این ترتیب آنها دسترسی به تمام فایل های رمزگذاری نشده در دستگاه خود دارند، اما مهاجم می خواهد رمز عبور را نیز دریافت کند (شاید بدانید رمز عبور کاربر به آنها کمک خواهد کرد حدس زدن رمز عبور کاربر در سرویس های دیگر، در میان چیزهای دیگر).
به نظر می رسد که یک قضیه وجود دارد که حد بالا را برای مدت زمانی که مهاجم می تواند به زور به رمز عبور کاربر تحمیل کند تاخیر دهد. اگر N تعداد رمزهای عبور در فضای پیچیدگی است که یک کاربر واقعی احتمال دارد از آن انتخاب شود، و t حداکثر زمانی است که کاربر مایل است تا عمل رمزنگاری را به گذرواژه ورود به هش خود منتظر بگذارد، R نسبت سرعت سخت افزار مهاجم به سرعت سخت افزار کاربر، و سپس حداکثر زمان برای مهاجم برای خلع سلاح رمز عبور کاربر N * t / R
به عنوان مثال، اگر 10 میلیون رمز عبور با پیچیدگی وجود دارد از رمز عبور که کاربر احتمالا از آن انتخاب کند، و کاربر مایل است پس از تایپ کردن رمز عبور خود، 3 ثانیه صبر کند و سخت افزار حمله کننده 100 برابر سریعتر از سخت افزار کاربر باشد، و حداکثر زمان برای مهاجم به رمزعبور بی پروا 10،000،000 * (3 ثانیه) / 100 = حدود 3.5 روز است.
متاسفانه، این به نظر می رسد که حد بالا است که مستقل از چه سخت افزار و چه عملکرد رمزنگاری شما استفاده می کنید. همواره محدودیتی در مورد اینکه چگونه افراد پیچیده گذرواژه خود را ایجاد می کنند وجود دارد، محدودیتی در میزان طولانی از تأخیر زمانی که کاربران هنگام ورود به سیستم تحمل می کنند محدود می شود و یک مهاجم به خوبی تامین مالی می تواند همیشه سخت افزار را دریافت کند بار سریعتر از آنچه که کاربر معمولی از آن استفاده می کند (اگر فقط با خرید 100 لپ تاپ یکسان است با لپ تاپ کاربر).
بنابراین، دو چیز:
- آیا منطق در اینجا صدا؟
- آیا این یک قضیه شناخته شده است چه کسی دیگر به مدت طولانی اشاره کرده است و از قبل نام دارد؟
- برخی از چیزهایی که می توان برای مقابله با این مسئله انجام داد، چیست؟
