不过我也有被逼急的时候,我一个excel文件的加密密码忘记了,是个六位全数字密码。我想打开这个文件,没有办法我分析了下可以用全枚举攻击强力破解它。我马上使用vb写了一个破解程序,虽然vb运行速度比vc慢几十倍,但是省事,做的快。我破解时发现,当全枚举6位全数字密码时,程序跑飞,跑了一个小时没有结果。我就试5位密码结果几十秒就尝试完毕。看来6位密码破解受到计算机cpu等硬件和操作系统限制,难以实现。我就换一种想法,把六位全数字密码(10的6次方六位密码)分成10个密码本,一次破解一个密码本的秘密。破解10次就全部枚举完毕了,也要不了十几分钟,若运气好破解几千个就试出来了。终于这个文件的秘密被我采用字典式尝试出来了。可以看到被人得到文件多危险,那怕你对文件设置了简单密码。用银行卡的密码没有输入次数限制,知道用户名,破解密码也就十多分钟的事情,甚至优化后只需要几分钟。若你的密码是数字和大小写字母的混合(不包括标点符号),若密码长度达到32位,那是32的62次方个密码,理论上这种密码是没有破解的可能。但是这种原始方案的缺点也很显然,那就是这种密码太复杂太长,用户记不住,其次有被别人截获密码的可能,毕竟现在密码也需要在网上传输的。所以就产生了加密协议。加密协议的作用就是,用户如何一个简单密码,进行加密后就变成32位,64位,128位等密码了,然后在网上传输就安全多了,一般这种加密密码和时间戳也正相关。你截获了也用处不大,就是你把时间参数传递过去了,服务器也和本地时间比对的,超过3分钟他们就认为是非法消息,它是不断变化的,破解很困难。很多网站都有输入次数限制,所以对很多网站的密码破解都集中在加密算法上,很少进行字典式攻击了,当然黑客找到网站的漏洞,绕过次数限制,也会进行字典式轰炸。
以前我在做曹操专车时,遇到一个离奇的事情。一个用户买了优惠券,使用时提示优惠券已经被使用过。但是用户刚刮开涂层,怎么就不能用了呢?原来优惠券是4位纯数字,发放的优惠券比较多,有用户买了优惠券使用了后,输入相连的号码,竟然有很大概率就能试出来有用的优惠券号码,并且客户端没有尝试次数的限制。这个就是现实的字典式攻击的例子。4位全数字密码也就9999个密码,他有多危险知道了吧!
md5是编码算法,别把它当成很高级的加密算法。网上就有字典式破解md5编码的网站,密码长不一定安全,那要看你的编码算法怎么样,最好对密码验证次数进行限时间段限制,时间正相关,风控管理(同一用户或同一ip进行短期大批量操作监控),密码设置为6位及以上数字和字母混合,那样能大大减少被破解的可能性。不过我也有被逼急的时候,我一个excel文件的加密密码忘记了,是个六位全数字密码。我想打开这个文件,没有办法我分析了下可以用全枚举攻击强力破解它。我马上使用vb写个破解程序,虽然vb运行速度比vc慢几十倍,但是省事,做的快。我破解时发现,当6位全数字密码程序跑飞,跑了一个小时没有结果。我就试5位密码结果几分钟就尝试完毕。看来6位密码破解受到计算机cpu等硬件和操作系统限制,难以实现。我就还一种想法,把六位全数字密码(10的6次方减1个六位密码)分成10个密码本,一次破解一个密码本的本。破解10次就全部尝试完毕了,也要不了十几分钟。终于这个文件被我攻破了。可以看到被人得到文件多危险。用银行卡的密码没有输入次数限制,知道用户名,破解密码也就十多分钟的事情,甚至优化后只需要几分钟。若你的密码是数字和大小写字母的混合(不包括标点符号),若密码长度达到32位,那是32的62次方减1个密码,理论上这种密码是没有破解的可能。但是这种原始方案的缺点也很显然,那就是这种密码太复杂太长,用户记不住,其次有被别人截获密码的可能,毕竟现在密码也需要在网上传输的。所以就产生了加密协议。加密协议的作用就是,用户如何一个简单密码,进行加密后就变成32位,64位,128位等密码了,然后在网上传输就安全多了,一般这种加密密码和时间戳也正相关。你截获了也用处不大,就是你把时间参数传递过去了,服务器也和本地时间比对的,超过3分钟他们就认为是非法消息,它是不断变化的,破解很困难。很多网站都有输入次数限制,所以对很多网站的密码破解都集中在加密算法上,很少进行字典式攻击了,当然黑客找到网站的漏洞,绕过次数限制,也会进行字典式轰炸。
以前我在做曹操专车时,遇到一个离奇的事情。一个用户买了优惠券,使用时提示优惠券已经被使用过。但是用户刚刮开涂层,怎么就不能用了呢?原来优惠券是4位纯数字,发放的优惠券比较多,有用户买了优惠券使用了后,输入相连的号码,竟然有很大概率就能试出来有用的优惠券号码,并且客户端没有尝试次数的限制。这个就是现实的字典式攻击的例子。4位全数字密码也就9999个密码,他有多危险知道了吧!
md5是编码算法,别把它当成很高级的加密算法。网上就有字典式破解md5编码的网站,密码长不一定安全,那要看你的编码算法怎么样,最好对密码验证次数进行限时间段限制,时间正相关,风控管理(同一用户或同一ip进行短期大批量操作监控),密码设置为6位及以上数字和字母混合,那样能大大减少被破解的可能性。不过我也有被逼急的时候,我一个excel文件的加密密码忘记了,是个六位全数字密码。我想打开这个文件,没有办法我分析了下可以用全枚举攻击强力破解它。我马上使用vb写个破解程序,虽然vb运行速度比vc慢几十倍,但是省事,做的快。我破解时发现,当6位全数字密码程序跑飞,跑了一个小时没有结果。我就试5位密码结果几分钟就尝试完毕。看来6位密码破解受到计算机cpu等硬件和操作系统限制,难以实现。我就还一种想法,把六位全数字密码(10的6次方减1个六位密码)分成10个密码本,一次破解一个密码本的本。破解10次就全部尝试完毕了,也要不了十几分钟。终于这个文件被我攻破了。可以看到被人得到文件多危险。用银行卡的密码没有输入次数限制,知道用户名,破解密码也就十多分钟的事情,甚至优化后只需要几分钟。若你的密码是数字和大小写字母的混合(不包括标点符号),若密码长度达到32位,那是32的62次方减1个密码,理论上这种密码是没有破解的可能。但是这种原始方案的缺点也很显然,那就是这种密码太复杂太长,用户记不住,其次有被别人截获密码的可能,毕竟现在密码也需要在网上传输的。所以就产生了加密协议。加密协议的作用就是,用户如何一个简单密码,进行加密后就变成32位,64位,128位等密码了,然后在网上传输就安全多了,一般这种加密密码和时间戳也正相关。你截获了也用处不大,就是你把时间参数传递过去了,服务器也和本地时间比对的,超过3分钟他们就认为是非法消息,它是不断变化的,破解很困难。很多网站都有输入次数限制,所以对很多网站的密码破解都集中在加密算法上,很少进行字典式攻击了,当然黑客找到网站的漏洞,绕过次数限制,也会进行字典式轰炸。
以前我在做曹操专车时,遇到一个离奇的事情。一个用户买了优惠券,使用时提示优惠券已经被使用过。但是用户刚刮开涂层,怎么就不能用了呢?原来优惠券是4位纯数字,发放的优惠券比较多,有用户买了优惠券使用了后,输入相连的号码,竟然有很大概率就能试出来有用的优惠券号码,并且客户端没有尝试次数的限制。这个就是现实的字典式攻击的例子。4位全数字密码也就9999个密码,他有多危险知道了吧!
md5是编码算法,别把它当成很高级的加密算法。网上就有字典式破解md5编码的网站,密码长不一定安全,那要看你的编码算法怎么样,最好对密码验证次数进行限时间段限制,时间正相关,风控管理(同一用户或同一ip进行短期大批量操作监控),密码设置为6位及以上数字和字母混合,那样能大大减少被破解的可能性。

字典式攻击及规避方案相关推荐

  1. Android网页广告植入规避方案

    Android网页广告植入规避方案 一.前言(问题提出) 网页经过dns,运营商或者被截取的时候,就可能被非法注入广告,甚至是诈骗链接.在移动端尤其严重,特别是webView. 二.实现方案(实现.改 ...

  2. 【Unity】关于Unity2019的2D灯光的一些坑以及规避方案

    关于Unity2019的2D灯光的一些坑以及规避方案 多边形光 FalloffOffset 向量长度不能大于 Falloff,必须保证在范围内偏移,否则光线会在屏幕消失 做远光请用点光 自定义光 Fa ...

  3. 【Android】网页广告植入规避方案

    一.问题 网页经过dns,运营商或者被截取的时候,就可能被非法注入广告,甚至是诈骗链接.在移动端尤其严重,特别是webView. 二.实现方案 问题现象 小米商城被植入广告图 问题分析 1.dns植入 ...

  4. 视频场景网络劫持的各种表现及规避方案

    网络劫持原因 中国的网络(国外也同样)环境相对复杂,除了电信.联通.移动是比较大的网络接入厂商,此外包含长城宽带.鹏博士.教育网.科技网.广电等等不少于20多家的小运营商.而且各个省市是相互独立运营. ...

  5. fieldset在ie8下的margin\padding bug规避

    写在前面的话 其实我不推荐使用fieldset这个标签,正如我们常常议论的那样这东西在不同的浏览器下确实操蛋,但是在一些老的项目中大量使用,所以还是有必要分析一下,fieldset到底有哪些怪毛病,如 ...

  6. 不停应用重启oracle数据库,此类情况下解决Oracle数据库重启的四种方案

    原题:Oracle数据库重启(内存参数numperm_global相关) 故障描述 Oracle数据库发生重启. 系统环境 AIX 6100-07-05-1228 Oracle 11g 故障分析 首先 ...

  7. Google GMS Crash 优化方案

    极力推荐文章:欢迎收藏 Android 干货分享  阅读五分钟,每日十点,和您一起终身学习,这里是程序员Android GMS(GoogleMobile Service)包是出口国外手机中 Googl ...

  8. 面试不怂之redis与缓存大全

    基础篇 问题:什么是redis? Redis是现在最受欢迎的NoSQL数据库之一,Redis是一个使用ANSI C编写的开源.包含多种数据结构.支持网络.基于内存.可选持久性的键值对存储数据库,其具备 ...

  9. 中小型商业银行的软件安全测试之道

    随着移动应用.互联网+时代的到来,几乎每个银行的都已经把主要的业务搬到互联网和移动互联网上来.随之而给带来了两个重大的趋势: 一方面,软件外包开发空前的繁荣起来,银行除了要提供网上银行,电话银行的业务 ...

  10. ImageMagick远程代码执行漏洞CVE-2016-8707 绿盟科技发布安全威胁通告

    在 ImageMagicks 的转换实用程序中, TIFF 图像压缩处理存在一个写边界的问题.攻击者利用一个精心编制的 TIFF 文件,可以导致的界限写,特别是可以利用的情况下进入远程执行代码.任何用 ...

最新文章

  1. Linux 文件系统常用命令:cat命令
  2. R语言使用fs包的file_info函数查看文件元信息(属性信息)、使用file_chmod函数修改文件的权限、使用file_chown函数修改文件的所有者
  3. 这些超实用的电脑快捷键,你都get到了吗?
  4. Linux下恢复误删文件:思路+实践
  5. 合并两个链表数据结构c语言,合并两个链表.
  6. 16 BP报错-尚未在外部定义科目组 的编码范围
  7. django-用户文件的上传-后台上传
  8. ElasticSearch权威指南学习(结构化查询)
  9. python列表数据类型一致_python笔记--数据类型--列表
  10. python怎么实现黑客攻击英国_注意!你的隐私就是这样被黑客获取的
  11. CPU中的Little Endian与Big Endian
  12. 背景图片平铺(HTML、CSS)
  13. 机器学习中的距离/散度/熵
  14. matlab green函数,地基土的传Green函数编辑中……
  15. linux系统密码自动丢失,Linux系统密码丢失后的5种解决方法
  16. VMware Workstation macOS Unlocker 下载慢的解决办法
  17. bp神经网络预测模型流程图,bp神经网络实例分析
  18. lept_json的学习之stringify
  19. 如何使用 身份证归属地查询API
  20. 客户端之H5拉起第三方app并跳转到指定页面

热门文章

  1. ASP.NET实现文件上传和下载
  2. Android 项目必备(四十一)-->Android 开发实战经验总结
  3. unityAPI文档离线下载
  4. EPUB电子书专用阅读软件
  5. openwrt下使用wget出现Failed to allocate uclient context
  6. 天锐绿盾加密软件支持什么操作系统?
  7. 大数据讲课笔记1.5 使用Vim编辑器
  8. 计算机组成第五章课后答案,计算机组成原理第5章部分习题参考答案
  9. 【学习】在Windows10平台使用Docker ToolBox安装docker(一)
  10. Java流(Stream)、文件(File)相关功能 ——菜鸟教程