Где-то месяц полтора в моей голове засела коварная мысль - сравнить какой же "взломщик" для хешей будет работать быстрее. Сначала нашел проги, потом считал, посмотрел на результаты - удалил , снова считал. Хотел написать статью, в итоге не вытерпев и забив на продолжительные тесты решил написать о том что есть, по итогам легких тестов, которые может сделать любой пользователей и окончательно решить что ему нужно.

Итак, на кого будем смотреть?

1. MD5Inside v1.1.0.2 (http://www.insidepro.com/)
2. PasswordsPro v2.3.0.0 (registered) (http://www.insidepro.com/)
3. UDC 2.0.9.2 (demo) (http://the-udc.com/)
4. MDCrack v1.8(2) (http://c3rb3r.openwall.net/mdcrack/)
5. John the Ripper 1.7 patched (http://www.openwall.com/john/)

По два слова о каждой программе:

MD5Inside:
Очень старенькая прога от создателя PasswordsPro. Могла посоревноваться по скорости с ранними версиями PasswordsPro, но значительно уступает ей по функциональности.
+ маленький размер
+ без регистрации позволяет загружать много хешей

- только MD5
- нельзя скопировать найденные пароли
- отсутсвует инструментарий для гибридной атаки (по правилам)


PasswordsPro v2.3.0.0:
Замечательный брутер, достаточно быстрый, и не менее функциональный. Не даром названный "комбайном" - поддерживает 19 типов хешей. Автор стремится приблизить функциональность атак по правилам до уровня John the Ripper
+ поддержка большинства популярных хешей
+ наличие инструментария для проведения гибридной атаки, комбинированной атаки, и атаки по rainbow таблицам
+ с версии 2.3.0.0 заложены основы для комплексных атак - использование *.ini файлов при запуске программы с командной строки (кстати я попросил )
+ поддержка сальтовых хешей от популярных форумов
+ для жителей СНГ цена на программу в 2 раза меньше чем для "буржуев"

- в демо версии можно импортировать только 1 хеш


UDC 2.0.9.2:
С данной программой работал мало, ничего особого сказать не могу, вроде функциональная, но больше отрицательных эмоций
+ поддерживает двухядерные процессоры
+ есть гибридная атака

- не понравился интерфейс
- не понравилась реализация импорта хешей из текстового файла
- непонятки с демо версией - то говорит я демо, и этого делать не буду, а в другой раз его клинит, и оно делает то, что ранее отказывалась
- врёт в логах


MDCrack v1.8(2):
Достаточно мощный, но не очень функциональный брутер. Будем надеятся что в ближайщее время доделают обещанные фичи.
+ поддерживает двухядерные процессоры

- работает только с одним хешем
- не умеет работать со словарями
- по какой-то причине у меня не ищет пароли более 8 символов


John the Ripper 1.7:
Ветеран, но всё такой же меткий Версия 1.7, достаточно свежая, если JRT использовать со знанием дела, наверное, равных ему нет.
+ достаточное количество патчей
+ отличная система правил и масок
+ интеллектуальный инкремент

- атака полным перебором позволят перебирать пароли не более 8 символов



Приступим к подсчетам

Прежде чем начать подсчеты, выберем подходящую сборку Джона. Для тех кто не знает - есть оптимизированные сборки JRT под разные процессоры.
Внимание: лучшие результаты не обязательно покажет сборка JRT оптимизированная под ваш процессор.

Создаем батник такого содержания и запускаем

Если у вас не двухядерный проц, рекомендую ничего не делать в это время за компом, лучше сходить за пивом, через 15 минут вернетесь, оно всё посчитает.

В результате будут получены данные, что-то типа

Внимание: тестовые данные часто расходятся с данными полученными в полевых условиях, это значит что вам надо в итоге протестить сборки на конкретных примерах. Более того, некоторые сборки могут быть очень быстрыми при работе с Md5, а другие быстрее работать для MySQL 3.23. Так что имеет смысл переименовать наиболее понравившиеся ехе в файлы типа jrt_for_md5/jrt_for_des и тд и тп.

Далее по результатам этих файлов выбирает пару заинтересовавших сборок

и тестите уже на практике с помощью батника
Где, к примеру, l6 обозначает множество паролей из lowalpha на 6 символов. Грубо говоря одна проверка множества займет около 2 минут.

Справка: при выборе Only/Many salts я бы рекомендовал выбирать по параметру Many, так как чаще у вас будут хеши с разными солями, имхо.
Справка: особенностью JRT является то, что чем больше хешей, тем болешь его скорость


Ладненько, будем смотреть на циферки

Итак, сгенерим 100 паролей, состоящих только из цифр, на 8 символов. Очень хилая проверка, но зато быстрая.

В итоге получаем такие данные
скорость нахождения всех паролей : паролей/сек : чтение из словаря (200 мб)
На данный момент я пока не разобрался почему скорость перебора у Джона больше, а вот результаты по времени меньше... Ну как видно по результатам, то быстрее всех пароли находит PasswordsPro, а скорость чтения словаря самая быстрая у UDC. Если смотреть результаты для двухядер, то UDC шустрее соперников.

Справка: при сравнении скоростей для JRT использовалась маска, именно она отвечает полному перебору в других программах. Не путайте с -iigits - в данном случае используется так называемый "интеллектуальный перебор", его скорость меньше чем у масок, но результаты может дать быстрее.

Вы скажете что я забыл MDCrack v1.8(2), на самом деле нет, так как он умеет считать только 1 хеш за раз, данные для него отдельно


Ради интереса взял этот пароль "asdfghj" и решил сравнить с другими, смотрим:

Как видите, результаты на практике отличаются от тестовых, и вообще, честно говоря не понятно как статистика у некоторых программ генерится , но это оставим на совести разработчиков.
Еще хочу заметить что UDC, показала достаточно хорошие результаты

Отсебятина
Лично я выбираю JTR+PasswordsPro, на данный момент мне их хватает, вот если будет ключик, тогда потестю UDC, а в таком виде как он сейчас, что-то не хочу его использовать. В пользу JTR еще кучу найденной информации по его улучшению

Флейм
Не знаю помог ли я вам, или еще больше запутал, но хоть дал пищу для ума По крайней мере не забывайте что это было всего лишь сравнение по md5, если брать JRT, то он однозначно выигрывает у PasswordsPro по DES хешам.

Жду конкретных замечаний или вопросов, ну и предложений тоже. Если материал говняный и на "статью" не тянет, пишите с конкретными указаниями почему, перенесу тогда ее. Хотя на самом деле получился больше дайджест по выбору программы

Данная статья будет постоянно обновляться учитывая ваши пожелания и замечания. Уже в процессе:
1) графики
2) более емкие тесты
3) + еще софта