- 积分
- 7741
注册时间2007-7-24
参与分
技术分
精华
TA的每日心情 | 开心
2020-2-20 16:36 |
|---|
签到天数: 1 天 [LV.1]初来乍到
|
作为一名技术宅来说我的工作就是折腾网络.
然后年前被邀请参与了一场"撞库"实验.
目的就是对现有网络安全密码的真正安全性进行进行评估.
评估的结果竟然是大家的密码真的渣无可渣.
下面做做科普.
早期的密码反算是这样的.黑客偷到一个库,可能是论坛也可能是别的什么上的.然后根据此库的加密办法建立一个普及密码库,比如111111这样的密码.加密过后有可能变成999999了,这样的简易密码大概有数千个.然后将普及密码库内的密码区跟偷来的库进行比对,筛选出相同密码的账号.这样就得到了此类账号的密码. 很多人有很多账号但密码都是一样的,然后一些重要账号就这么丢了.
现在搞的更直接,偷两个大库直接比对对撞.筛选出相同账号的数据库.两个库加密算法不同,得出结果也不同.当密码相同的时候,就像解方程式一样很容易就被反解出来.当然这样难度系数更高,但成功率也高.因为很多人的所有账号的密码都是一样一样的.
以前这样搞因为计算机的运算速度有限,结果出的很慢,所以不会被采用.但是随着硬件运算速度的提高,使这种原本鸡肋的方法变好用了.
撞库实验进行了3次,
一次是两库对撞,A库15万账号,B库17万(都是大概值),24小时撞出了1万多账号.
第二次增加了C库,三库对撞.24小时撞了4万多.
第三次增加了D库,四库对撞.6小时撞得12万.
四个库都是从国内知名站点取得的,guoan,gongan,知名安全提供商等几个部门共同参与.最终数据在鉴证下进行了销毁.
尽量将密码做成不统一的吧,哪怕你懒得讲用户名统一.
比方说我,所有密码都是在一个原始密码基础上增加对应网站简称.相对来说也简单易记.
理论上讲,这样做,除非明文保存密码,不然撞库成功率为0
|
评分
-
查看全部评分
|
发表于 2015-2-20 09:11
