Если у вас есть только хэш, то единственная оценка, которую вы можете сделать, - попытаться угадать точный пароль, что довольно дорого. И затем, либо вы сломаете это, либо нет; Там нет никакого среднего. Вы могли бы использовать время , которое потребовалось вам, чтобы угадать пароль в качестве оценки надежности пароля, но, надеюсь, хорошие пароли займут больше времени, чем это практично. В этом смысл хеширования паролей: чтобы угадать пароль и проверить его с помощью хеша, нужно несколько недель или месяцев, а не минут.
В рамках теста на проникновение, если у вас есть хешированные пароли, вы должны запустить взломщик паролей . Возможно, вам придется разработать немного программного обеспечения, если процесс хеширования точного пароля еще не интегрирован. Любой взломанный пароль будет считаться серьезным недостатком системы.
Обычные оценщики надежности пароля работают с нехэшированным паролем, пытаясь определить, насколько надежным является пароль. Это не очень хорошо работает на практике, потому что "угадывание" может включать человеческий мозг, который уклоняется от точного моделирования. Например, вы можете создать длинный пароль, объединив четыре или пять дат (например, в формате ГГММДД); такой пароль будет иметь достаточную силу, но если даты - это даты рождения вашей жены и детей, то, скорее всего, пароль будет легко угадать.