<div dir="ltr"><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Jan 16, 2015 at 10:07 PM, Watson Ladd <span dir="ltr"><<a href="mailto:watsonbladd@gmail.com" target="_blank">watsonbladd@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Fri, Jan 16, 2015 at 4:07 PM, Joseph Bonneau <<a href="mailto:jbonneau@gmail.com">jbonneau@gmail.com</a>> wrote:</span><br>
Furthermore, estimates of the entropy of any user entered text are<br>
likely to be wildly high. How many people are going to enter in the<br>
first line of Ozymandias, or Ulysses, or some other memorable book?<br>
We've done the experiment with brain wallets for bitcoin already:<br>
didn't look so good.</blockquote><div><br></div><div>I actually have published quite extensively about this :-) Estimates of password strength are indeed usually high (and as an important aside, Shannon entropy is completely the wrong metric, I would recommend simply using min-entropy among several possible metrics.)</div><div><br></div><div>I was under the impression this is not a user-chosen password by a randomly-chosen list of words, in which case estimates are dead on.</div><div><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">
>> More and more systems are using scrypt for password hashing.  Does<br>
>> anyone know the state-of-the-art in scrypt cracking?<br><br>
</span>With a slight change to the masks, could use local generation of<br>
password guesses to remove bandwidth barrier. What about FPGA?<br></blockquote><div><br></div><div>This is feasible if you're doing very simple brute force (e.g. all 12 character printable ASCII strings) but if you're using any more sophisticated algorithm to generate more likely guesses based on known structures common in passwords, local generation is going to make the ASIC design considerably more complicated.</div><div><br></div></div></div></div>