字典式攻击及规避方案
不过我也有被逼急的时候,我一个excel文件的加密密码忘记了,是个六位全数字密码。我想打开这个文件,没有办法我分析了下可以用全枚举攻击强力破解它。我马上使用vb写了一个破解程序,虽然vb运行速度比vc慢几十倍,但是省事,做的快。我破解时发现,当全枚举6位全数字密码时,程序跑飞,跑了一个小时没有结果。我就试5位密码结果几十秒就尝试完毕。看来6位密码破解受到计算机cpu等硬件和操作系统限制,难以实现。我就换一种想法,把六位全数字密码(10的6次方六位密码)分成10个密码本,一次破解一个密码本的秘密。破解10次就全部枚举完毕了,也要不了十几分钟,若运气好破解几千个就试出来了。终于这个文件的秘密被我采用字典式尝试出来了。可以看到被人得到文件多危险,那怕你对文件设置了简单密码。用银行卡的密码没有输入次数限制,知道用户名,破解密码也就十多分钟的事情,甚至优化后只需要几分钟。若你的密码是数字和大小写字母的混合(不包括标点符号),若密码长度达到32位,那是32的62次方个密码,理论上这种密码是没有破解的可能。但是这种原始方案的缺点也很显然,那就是这种密码太复杂太长,用户记不住,其次有被别人截获密码的可能,毕竟现在密码也需要在网上传输的。所以就产生了加密协议。加密协议的作用就是,用户如何一个简单密码,进行加密后就变成32位,64位,128位等密码了,然后在网上传输就安全多了,一般这种加密密码和时间戳也正相关。你截获了也用处不大,就是你把时间参数传递过去了,服务器也和本地时间比对的,超过3分钟他们就认为是非法消息,它是不断变化的,破解很困难。很多网站都有输入次数限制,所以对很多网站的密码破解都集中在加密算法上,很少进行字典式攻击了,当然黑客找到网站的漏洞,绕过次数限制,也会进行字典式轰炸。
以前我在做曹操专车时,遇到一个离奇的事情。一个用户买了优惠券,使用时提示优惠券已经被使用过。但是用户刚刮开涂层,怎么就不能用了呢?原来优惠券是4位纯数字,发放的优惠券比较多,有用户买了优惠券使用了后,输入相连的号码,竟然有很大概率就能试出来有用的优惠券号码,并且客户端没有尝试次数的限制。这个就是现实的字典式攻击的例子。4位全数字密码也就9999个密码,他有多危险知道了吧!
md5是编码算法,别把它当成很高级的加密算法。网上就有字典式破解md5编码的网站,密码长不一定安全,那要看你的编码算法怎么样,最好对密码验证次数进行限时间段限制,时间正相关,风控管理(同一用户或同一ip进行短期大批量操作监控),密码设置为6位及以上数字和字母混合,那样能大大减少被破解的可能性。不过我也有被逼急的时候,我一个excel文件的加密密码忘记了,是个六位全数字密码。我想打开这个文件,没有办法我分析了下可以用全枚举攻击强力破解它。我马上使用vb写个破解程序,虽然vb运行速度比vc慢几十倍,但是省事,做的快。我破解时发现,当6位全数字密码程序跑飞,跑了一个小时没有结果。我就试5位密码结果几分钟就尝试完毕。看来6位密码破解受到计算机cpu等硬件和操作系统限制,难以实现。我就还一种想法,把六位全数字密码(10的6次方减1个六位密码)分成10个密码本,一次破解一个密码本的本。破解10次就全部尝试完毕了,也要不了十几分钟。终于这个文件被我攻破了。可以看到被人得到文件多危险。用银行卡的密码没有输入次数限制,知道用户名,破解密码也就十多分钟的事情,甚至优化后只需要几分钟。若你的密码是数字和大小写字母的混合(不包括标点符号),若密码长度达到32位,那是32的62次方减1个密码,理论上这种密码是没有破解的可能。但是这种原始方案的缺点也很显然,那就是这种密码太复杂太长,用户记不住,其次有被别人截获密码的可能,毕竟现在密码也需要在网上传输的。所以就产生了加密协议。加密协议的作用就是,用户如何一个简单密码,进行加密后就变成32位,64位,128位等密码了,然后在网上传输就安全多了,一般这种加密密码和时间戳也正相关。你截获了也用处不大,就是你把时间参数传递过去了,服务器也和本地时间比对的,超过3分钟他们就认为是非法消息,它是不断变化的,破解很困难。很多网站都有输入次数限制,所以对很多网站的密码破解都集中在加密算法上,很少进行字典式攻击了,当然黑客找到网站的漏洞,绕过次数限制,也会进行字典式轰炸。
以前我在做曹操专车时,遇到一个离奇的事情。一个用户买了优惠券,使用时提示优惠券已经被使用过。但是用户刚刮开涂层,怎么就不能用了呢?原来优惠券是4位纯数字,发放的优惠券比较多,有用户买了优惠券使用了后,输入相连的号码,竟然有很大概率就能试出来有用的优惠券号码,并且客户端没有尝试次数的限制。这个就是现实的字典式攻击的例子。4位全数字密码也就9999个密码,他有多危险知道了吧!
md5是编码算法,别把它当成很高级的加密算法。网上就有字典式破解md5编码的网站,密码长不一定安全,那要看你的编码算法怎么样,最好对密码验证次数进行限时间段限制,时间正相关,风控管理(同一用户或同一ip进行短期大批量操作监控),密码设置为6位及以上数字和字母混合,那样能大大减少被破解的可能性。不过我也有被逼急的时候,我一个excel文件的加密密码忘记了,是个六位全数字密码。我想打开这个文件,没有办法我分析了下可以用全枚举攻击强力破解它。我马上使用vb写个破解程序,虽然vb运行速度比vc慢几十倍,但是省事,做的快。我破解时发现,当6位全数字密码程序跑飞,跑了一个小时没有结果。我就试5位密码结果几分钟就尝试完毕。看来6位密码破解受到计算机cpu等硬件和操作系统限制,难以实现。我就还一种想法,把六位全数字密码(10的6次方减1个六位密码)分成10个密码本,一次破解一个密码本的本。破解10次就全部尝试完毕了,也要不了十几分钟。终于这个文件被我攻破了。可以看到被人得到文件多危险。用银行卡的密码没有输入次数限制,知道用户名,破解密码也就十多分钟的事情,甚至优化后只需要几分钟。若你的密码是数字和大小写字母的混合(不包括标点符号),若密码长度达到32位,那是32的62次方减1个密码,理论上这种密码是没有破解的可能。但是这种原始方案的缺点也很显然,那就是这种密码太复杂太长,用户记不住,其次有被别人截获密码的可能,毕竟现在密码也需要在网上传输的。所以就产生了加密协议。加密协议的作用就是,用户如何一个简单密码,进行加密后就变成32位,64位,128位等密码了,然后在网上传输就安全多了,一般这种加密密码和时间戳也正相关。你截获了也用处不大,就是你把时间参数传递过去了,服务器也和本地时间比对的,超过3分钟他们就认为是非法消息,它是不断变化的,破解很困难。很多网站都有输入次数限制,所以对很多网站的密码破解都集中在加密算法上,很少进行字典式攻击了,当然黑客找到网站的漏洞,绕过次数限制,也会进行字典式轰炸。
以前我在做曹操专车时,遇到一个离奇的事情。一个用户买了优惠券,使用时提示优惠券已经被使用过。但是用户刚刮开涂层,怎么就不能用了呢?原来优惠券是4位纯数字,发放的优惠券比较多,有用户买了优惠券使用了后,输入相连的号码,竟然有很大概率就能试出来有用的优惠券号码,并且客户端没有尝试次数的限制。这个就是现实的字典式攻击的例子。4位全数字密码也就9999个密码,他有多危险知道了吧!
md5是编码算法,别把它当成很高级的加密算法。网上就有字典式破解md5编码的网站,密码长不一定安全,那要看你的编码算法怎么样,最好对密码验证次数进行限时间段限制,时间正相关,风控管理(同一用户或同一ip进行短期大批量操作监控),密码设置为6位及以上数字和字母混合,那样能大大减少被破解的可能性。
字典式攻击及规避方案相关推荐
- Android网页广告植入规避方案
Android网页广告植入规避方案 一.前言(问题提出) 网页经过dns,运营商或者被截取的时候,就可能被非法注入广告,甚至是诈骗链接.在移动端尤其严重,特别是webView. 二.实现方案(实现.改 ...
- 【Unity】关于Unity2019的2D灯光的一些坑以及规避方案
关于Unity2019的2D灯光的一些坑以及规避方案 多边形光 FalloffOffset 向量长度不能大于 Falloff,必须保证在范围内偏移,否则光线会在屏幕消失 做远光请用点光 自定义光 Fa ...
- 【Android】网页广告植入规避方案
一.问题 网页经过dns,运营商或者被截取的时候,就可能被非法注入广告,甚至是诈骗链接.在移动端尤其严重,特别是webView. 二.实现方案 问题现象 小米商城被植入广告图 问题分析 1.dns植入 ...
- 视频场景网络劫持的各种表现及规避方案
网络劫持原因 中国的网络(国外也同样)环境相对复杂,除了电信.联通.移动是比较大的网络接入厂商,此外包含长城宽带.鹏博士.教育网.科技网.广电等等不少于20多家的小运营商.而且各个省市是相互独立运营. ...
- fieldset在ie8下的margin\padding bug规避
写在前面的话 其实我不推荐使用fieldset这个标签,正如我们常常议论的那样这东西在不同的浏览器下确实操蛋,但是在一些老的项目中大量使用,所以还是有必要分析一下,fieldset到底有哪些怪毛病,如 ...
- 不停应用重启oracle数据库,此类情况下解决Oracle数据库重启的四种方案
原题:Oracle数据库重启(内存参数numperm_global相关) 故障描述 Oracle数据库发生重启. 系统环境 AIX 6100-07-05-1228 Oracle 11g 故障分析 首先 ...
- Google GMS Crash 优化方案
极力推荐文章:欢迎收藏 Android 干货分享 阅读五分钟,每日十点,和您一起终身学习,这里是程序员Android GMS(GoogleMobile Service)包是出口国外手机中 Googl ...
- 面试不怂之redis与缓存大全
基础篇 问题:什么是redis? Redis是现在最受欢迎的NoSQL数据库之一,Redis是一个使用ANSI C编写的开源.包含多种数据结构.支持网络.基于内存.可选持久性的键值对存储数据库,其具备 ...
- 中小型商业银行的软件安全测试之道
随着移动应用.互联网+时代的到来,几乎每个银行的都已经把主要的业务搬到互联网和移动互联网上来.随之而给带来了两个重大的趋势: 一方面,软件外包开发空前的繁荣起来,银行除了要提供网上银行,电话银行的业务 ...
- ImageMagick远程代码执行漏洞CVE-2016-8707 绿盟科技发布安全威胁通告
在 ImageMagicks 的转换实用程序中, TIFF 图像压缩处理存在一个写边界的问题.攻击者利用一个精心编制的 TIFF 文件,可以导致的界限写,特别是可以利用的情况下进入远程执行代码.任何用 ...
最新文章
- Linux 文件系统常用命令:cat命令
- R语言使用fs包的file_info函数查看文件元信息(属性信息)、使用file_chmod函数修改文件的权限、使用file_chown函数修改文件的所有者
- 这些超实用的电脑快捷键,你都get到了吗?
- Linux下恢复误删文件:思路+实践
- 合并两个链表数据结构c语言,合并两个链表.
- 16 BP报错-尚未在外部定义科目组 的编码范围
- django-用户文件的上传-后台上传
- ElasticSearch权威指南学习(结构化查询)
- python列表数据类型一致_python笔记--数据类型--列表
- python怎么实现黑客攻击英国_注意!你的隐私就是这样被黑客获取的
- CPU中的Little Endian与Big Endian
- 背景图片平铺(HTML、CSS)
- 机器学习中的距离/散度/熵
- matlab green函数,地基土的传Green函数编辑中……
- linux系统密码自动丢失,Linux系统密码丢失后的5种解决方法
- VMware Workstation macOS Unlocker 下载慢的解决办法
- bp神经网络预测模型流程图,bp神经网络实例分析
- lept_json的学习之stringify
- 如何使用 身份证归属地查询API
- 客户端之H5拉起第三方app并跳转到指定页面
热门文章
- ASP.NET实现文件上传和下载
- Android 项目必备(四十一)-->Android 开发实战经验总结
- unityAPI文档离线下载
- EPUB电子书专用阅读软件
- openwrt下使用wget出现Failed to allocate uclient context
- 天锐绿盾加密软件支持什么操作系统?
- 大数据讲课笔记1.5 使用Vim编辑器
- 计算机组成第五章课后答案,计算机组成原理第5章部分习题参考答案
- 【学习】在Windows10平台使用Docker ToolBox安装docker(一)
- Java流(Stream)、文件(File)相关功能 ——菜鸟教程