資訊專欄INFORMATION COLUMN
摘要:圖片來源可能大部分人都沒有意識到設(shè)置密碼不走心的嚴(yán)重性,直到熱心市民劉先生現(xiàn)身說法。網(wǎng)絡(luò)平臺上有超過萬個公開的密碼集。對其再次進(jìn)行虛擬破解有助于提高個人密碼安全意識,防范真實密碼破譯攻擊。萬個密碼中被破解。
全文共2512字,預(yù)計學(xué)習(xí)時長4分鐘
事情是這樣發(fā)生的。
在某個陽光明媚的下午,熱心市民劉先生正吃著火鍋唱著歌,“叮~”,手機(jī)突然收到一條短信。以為是系統(tǒng)短信的他,起期初毫不在意,誰知隨后一連串的叮叮聲根本停不下來。
劉先生拿起手機(jī)一看,一臉懵逼,當(dāng)即上頭。
自己的Apple store 內(nèi)購?fù)蝗欢嗔?0多條賬單記錄,都是購買王者農(nóng)藥的點券消費,加起來有個小三千。
不對啊,家里也沒熊孩子啊。
慌亂中問及度娘:親親,您的Apple ID綁定了支付寶的免密支付,AppleID可能被盜刷了哦~致電蘋果和支付寶客服,一場維權(quán)拉鋸戰(zhàn)正式開始。
移動互聯(lián)網(wǎng)時代,人們以一串字符為密碼,將自己的信息、秘密、金錢都托管到了網(wǎng)絡(luò)。
人們設(shè)置密碼來保護(hù)網(wǎng)絡(luò)中的一切:從電子郵箱到銀行賬戶再到加密交易賬戶。大部分人對密碼的定位只是一串可以login in的字符,所以怎么好記怎么來。早些時候12345678走天下,后來迫于系統(tǒng)要求,才靈機(jī)一動設(shè)了個姓名首拼+生日。
圖片來源:unsplash.com/@cmdrshane
可能大部分人都沒有意識到設(shè)置密碼不走心的嚴(yán)重性,直到熱心市民劉先生現(xiàn)身說法。目前不法分子竊取蘋果賬號的主要方式還是“撞庫”和釣魚網(wǎng)站。
出于對密碼破解的單純興趣或者其他不為人知的原因,有大量研究復(fù)雜密碼破解算法的論文,這些算法利用極為復(fù)雜的概率和機(jī)器學(xué)習(xí)技術(shù),能夠破譯90%以上的密碼。
盡管如今許多平臺使用雙重驗證系統(tǒng)(2FA),但該系統(tǒng)并未被大范圍或強(qiáng)制推廣,絕大部分平臺仍不支持2FA。甚至大部分“心大”市民,完全沒有要啟用雙重驗證的意識。
破解密碼的算法強(qiáng)大到細(xì)思恐極,然而普羅大眾還是樂呵呵置身事外,“有多少普通人能夠使用這些算法呢?為什么黑客就一定會攻擊我?”
是時候揭秘,破解一個密碼有多簡單了!
背景簡介:存儲密碼
使用密碼登錄應(yīng)用程序時,所需步驟順序如下:
用戶輸入密碼(傳送密碼并進(jìn)行驗證)
所輸入的密碼與記錄密碼進(jìn)行比對
如果二者相同,用戶可繼續(xù)訪問應(yīng)用
然而,密碼傳送和存儲的安全性堪憂。為了保障安全,許多系統(tǒng)將用戶密碼的散列儲存在數(shù)據(jù)庫中,而不是密碼本身。密碼散列本身是不可逆雜亂密碼;如果黑客獲取了密碼散列,無法反推密碼。
在此類加密系統(tǒng)中,密碼登錄的步驟順序如下:
用戶輸入密碼
本地計算散列(密碼)并進(jìn)行傳送
對比記錄的散列
如果二者相同,用戶可繼續(xù)訪問應(yīng)用
背景簡介II:暴力破解散列
對于使用散列的加密系統(tǒng),如果黑客入侵密碼數(shù)據(jù)庫,他們?nèi)詿o法獲取用戶密碼。由于黑客無法通過密碼散列反推密碼,他們進(jìn)行以下操作:
任意猜一個密碼
計算該密碼加密文件
對比實際散列
重復(fù)上述步驟,直到猜中密碼
這聽起來是一個浩大的工程,但如果使用機(jī)器,可同時作出1000個猜測。在無數(shù)的可能性中隨機(jī)找到真正的密碼就不費吹灰之力了。
攻擊
軟件
破解密碼一般會用Hashcat軟件,這是一個先進(jìn)的密碼還原工具,被稱為“世界上最快速的密碼破解器”。
Hashcat是一個開源工具,其官網(wǎng)提供可供下載的數(shù)據(jù)源和二進(jìn)制文件,維基百科上也有對此工具的詳細(xì)講解。只要堅守想當(dāng)“黑客”的一腔熱情,很快可以學(xué)會Hashcat。
硬件
可以用Nvidia Tesla K80運行Hashcat——這是一個擁有4992個內(nèi)核的GPU,在亞馬遜云上可以租用,價格喜人,只需0.9美元/時。
與普通的手提電腦相比,K80的運行速度比普通因特爾圖形處理器快16倍。K80每秒可計算8億個SHA-256加密文件,也就是幾乎每小時3萬億個。
Unbelievable。
密碼
這只是一個實驗,當(dāng)然不可能用真正的賬號密碼啦。網(wǎng)絡(luò)平臺上有超過1400萬個公開的密碼集。對其再次進(jìn)行虛擬破解有助于提高個人密碼安全意識,防范真實密碼破譯攻擊。在開始實驗前,已經(jīng)抹掉了這份已泄漏文件中所有的個人身份信息。
攻擊邏輯
通過Hashcat可以暴力破解密碼(即對特定長度的密碼進(jìn)行無限嘗試),也可以進(jìn)行更為復(fù)雜的攻擊。眾所周知,大多數(shù)人會基于一個單詞來設(shè)置密碼,形式各有不同:
· 僅僅是一個單詞(可能字母大小寫不同)——Password
· 單詞加數(shù)字/符號后綴——monkey! 或 Coffee12
· 單詞、數(shù)字、符號混合使用的“火星文”—— p4ssw0rd o或f4c3b00k
· 多個單詞連接——isthissecure
巧的是如果上傳一份單詞列表文件,Hashcat內(nèi)置的多種模式會進(jìn)行如下猜測:
· 單詞
· 單詞加任何數(shù)字/符號后綴
· 有特定規(guī)律的單詞(如把所有“o”替換成“0”)
· 任何單詞組合
因此,可以下載了一份包含幾百萬英語單詞詞典文件以進(jìn)行攻擊。
此時,攻擊范圍就可以更為廣泛,同時也能選定Hashcat應(yīng)該嘗試的“面具”。無需再使用Hashcat嘗試有7萬億個組合的“所有長度為8的密碼”——有——只需嘗試“6個小寫字母加2個數(shù)字”的密碼。
那么攻擊結(jié)果如何呢?
實話說…攻擊結(jié)果遠(yuǎn)比想象中好,簡直成功得駭人……
· 2小時內(nèi):48%的密碼被破解
· 8小時內(nèi):幾乎70%的密碼被破解
· 20小時內(nèi):超過80%的密碼被破解
總結(jié)一下:20個小時。每小時0.9美元。總計18美元。1400萬個密碼中80%被破解。
對于這個結(jié)果,各位再消化一會兒…
這太嚇人了。大家一定要提高自己密碼的安全性。僅僅把“o”替換成“0”或把“e”替換成“3”還不夠。加上數(shù)字和符號后綴也不足以抵抗攻擊。這些模式都是可以被預(yù)測的。
人們正是遵循了某些可預(yù)測的規(guī)則才導(dǎo)致密碼輕易破解。最科學(xué)的辦法是把密碼交給管理器,比如LastPass 或 1Password等。
不過如果你的腦回路足夠優(yōu)秀,也可以嘗試把密碼改成圓周率后六位嘻嘻嘻(手動狗頭)。這樣別說是黑客,全世界都沒有人知道你的密碼
啦。
留言 點贊 關(guān)注
我們一起分享AI學(xué)習(xí)與發(fā)展的干貨
歡迎關(guān)注全平臺AI垂類自媒體 “讀芯術(shù)”
(添加小編微信:dxsxbb,加入讀者圈,一起討論最新鮮的人工智能科技哦~
文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://m.specialneedsforspecialkids.com/yun/45440.html
摘要:加密數(shù)字貨幣價格巔峰,區(qū)塊鏈成二線企業(yè)股價春藥年月日,是區(qū)塊鏈行業(yè)的高光時刻,整個加密數(shù)字貨幣市值億美元,人民幣近萬億元。直接原因是,當(dāng)日,中網(wǎng)載線剛剛宣布與井通網(wǎng)絡(luò)科技有限公司合作開展區(qū)塊鏈產(chǎn)業(yè)。 加密數(shù)字貨幣價格巔峰,區(qū)塊鏈成二線企業(yè)股價春藥 2018 年 1 月 8 日,是區(qū)塊鏈行業(yè)的高光時刻,整個加密數(shù)字貨幣市值 8139 億美元,人民幣近 6 萬億元。在 10 天之前,12 ...
摘要:但現(xiàn)在,作為全球頂級網(wǎng)絡(luò)托管公司的公司報告說,超過萬客戶的數(shù)據(jù)已被曝光,且數(shù)據(jù)暴露已有數(shù)月。而哈希公鑰被認(rèn)為是的行業(yè)最佳做法。宣布,目前正在進(jìn)行調(diào)查,并正在與所有受影響的客戶直接聯(lián)系,提供具體細(xì)節(jié)。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;overflow-x:...
摘要:怎么樣才算是一個完美的以太坊開發(fā)者在以太坊開發(fā)者精湛的技能中,最重要的是要知道將最優(yōu)秀的與其他人區(qū)分開的基本品質(zhì)是什么優(yōu)秀的開發(fā)人員必須不僅僅是具有區(qū)塊鏈編碼技能的開發(fā)人員。以太坊帶來了區(qū)塊鏈技術(shù)可能實現(xiàn)的全部應(yīng)用范圍。 對優(yōu)質(zhì)區(qū)塊鏈開發(fā)人員的需求很大,這是有充分理由的。區(qū)塊鏈和ICO領(lǐng)域在過去幾年中爆炸式增長。越來越多的人試圖進(jìn)入并在該領(lǐng)域中揚名立萬。但是,為了獲得成功,他們擁有一支...
摘要:但只要提到去中心化,人們第一時間想到的還是去中心化交易所。那么,交易所為什么要去中心化安全問題自年開始,全世界范圍內(nèi)的中心化交易所就接連出現(xiàn)代幣被黑客盜走的事件。 去中心化的前世今生1990年,伯納斯?李爵士發(fā)明了萬維網(wǎng),他希望網(wǎng)絡(luò)是去中心化的,能將世界所有人都聚合在一起,互相協(xié)作,所以他將萬維網(wǎng)免費交給世人使用。但不久前,伯納斯?李爵士在接受《名利場》雜志采訪時,表達(dá)了對當(dāng)前互聯(lián)網(wǎng)的...
閱讀 2910·2021-11-24 09:39
閱讀 1168·2021-11-02 14:38
閱讀 4163·2021-09-10 11:26
閱讀 2753·2021-08-25 09:40
閱讀 2314·2019-08-30 15:54
閱讀 485·2019-08-30 10:56
閱讀 2751·2019-08-26 12:14
閱讀 3220·2019-08-26 12:13
