H******7
发帖数: 34403 | |
i****a
发帖数: 36252 | 2 更傻的是强制密码6~8字长什么的的,或者第一个字必须是字母。特傻
【在 H******7 的大作中提到】
: 码农来说说
|
c******n
发帖数: 16666 | 3 不加特殊字符的话 彩虹表估计分分钟破解
【在 H******7 的大作中提到】
: 码农来说说
|
n*********u
发帖数: 1030 | 4 如果是数据库被盗(很常见,基本大公司都被盗过了),8字密码基本跟没有差不多,
暴力破解一个都花不了多久。
【在 i****a 的大作中提到】
: 更傻的是强制密码6~8字长什么的的,或者第一个字必须是字母。特傻
|
n***d
发帖数: 8857 | 5 怎么暴力破解?
【在 n*********u 的大作中提到】
: 如果是数据库被盗(很常见,基本大公司都被盗过了),8字密码基本跟没有差不多,
: 暴力破解一个都花不了多久。
|
z*********e
发帖数: 10149 | 6 叔已经被搞怕了
从来没被黑过,但是防不住有的网站被捅。现在每个网站一个独立的随机密码,抄在小
本本上 |
z**********e
发帖数: 22064 | 7 所有字母数字组合,8个一组挨个来。
只有数字的话,8个的组合只有7千多万个(如果不许有重复数字),几分钟就可以试完。
【在 n***d 的大作中提到】
: 怎么暴力破解?
|
w**m
发帖数: 2065 | 8 这些人盜密码有啥用,进入信用卡或银行账户也取不到钱。进邮箱更无聊了,虽说一堆
私人信息,但都是鸡毛蒜皮的。
完。
【在 z**********e 的大作中提到】
: 所有字母数字组合,8个一组挨个来。
: 只有数字的话,8个的组合只有7千多万个(如果不许有重复数字),几分钟就可以试完。
|
|
w**m
发帖数: 2065 | 9 我被黑过,吗的一个twittet钓鱼网站,哥注册了一堆的账号只是为amex offer用,都
是假信息,这厮以为得到了宝贝,马上把我的注册email换成他自己的,还发了个tweet
,真他妈无聊。
【在 z*********e 的大作中提到】
: 叔已经被搞怕了
: 从来没被黑过,但是防不住有的网站被捅。现在每个网站一个独立的随机密码,抄在小
: 本本上
|
d****o
发帖数: 32610 | 10 有些破烂网站本来随便设一个破了也无所谓的
【在 c******n 的大作中提到】
: 不加特殊字符的话 彩虹表估计分分钟破解
|
|
|
m********n
发帖数: 3812 | 11 all characters matters !! |
s*********e
发帖数: 1814 | 12 不傻
因为大部分用户很懒,而且没有安全概念。用的都是很有规律,容易被试出来的弱密码
。只要一个特殊字符,就能让他们的密码明显安全(虽然很可能仍然不够安全)
【在 H******7 的大作中提到】
: 码农来说说
|
n***d
发帖数: 8857 | 13 那怎么知道哪个组合蒙对了?
完。
【在 z**********e 的大作中提到】
: 所有字母数字组合,8个一组挨个来。
: 只有数字的话,8个的组合只有7千多万个(如果不许有重复数字),几分钟就可以试完。
|
z**********e
发帖数: 22064 | 14 不对就让你重试,对了就进去了呗。
好像现在就有这种软件,叫“撞库”。
【在 n***d 的大作中提到】
: 那怎么知道哪个组合蒙对了?
:
: 完。
|
w**m
发帖数: 2065 | 15 试3次就给锁了。
【在 z**********e 的大作中提到】
: 不对就让你重试,对了就进去了呗。
: 好像现在就有这种软件,叫“撞库”。
|
c******n
发帖数: 16666 | 16 最简单的网站就是密码hash了之后存数据库
所谓彩虹表就是预先根据字典把密码hash了之后的数据集合
如果拿到数据库 直接对比下就行了
这也是为什么现在都要加特殊字符的长密码
所以稍微正经点的除了hash还要加salt甚至pepper
http://stackoverflow.com/questions/16891729/best-practices-salting-peppering-passwords
【在 n***d 的大作中提到】
: 那怎么知道哪个组合蒙对了?
:
: 完。
|
d**********6
发帖数: 112 | 17 这个还有其他的办法: 比如加 iteration count, 用 scrypt
这样, 即使是一个8个字符的口令,也是不容易暴力破解的
【在 c******n 的大作中提到】
: 最简单的网站就是密码hash了之后存数据库
: 所谓彩虹表就是预先根据字典把密码hash了之后的数据集合
: 如果拿到数据库 直接对比下就行了
: 这也是为什么现在都要加特殊字符的长密码
: 所以稍微正经点的除了hash还要加salt甚至pepper
: http://stackoverflow.com/questions/16891729/best-practices-salting-peppering-passwords
|
c******n
发帖数: 16666 | 18 嗯 很多暴破都是arm或者gpu
上次还看了个 再前端先hash和加密然后传key到后端 增加破解时间的 细节没看 反正
都是给it admin多几个小时时间 发现被人拿库了赶紧补救的
【在 d**********6 的大作中提到】
: 这个还有其他的办法: 比如加 iteration count, 用 scrypt
: 这样, 即使是一个8个字符的口令,也是不容易暴力破解的
|
y****i
发帖数: 12114 | 19 貌似还没有人接你这个茬。
【在 w**m 的大作中提到】
: 试3次就给锁了。
|
i****a
发帖数: 36252 | 20 icloud 的印度码工表示不用锁
【在 y****i 的大作中提到】
: 貌似还没有人接你这个茬。
|
