level 11
宅术师老维
楼主
DLC已经发售了,之前做的几个科普帖子虽然没什么反响,不过我感觉还是有些吧友有点兴趣,另外我觉得一些对信息技术不太了解的吧友,听听也不错,虽然没什么很厉害的东西,但是算是一个简单的科普吧,也算是推广信息技术安全知识。
这次来说说暴力破解和密码安全。
密码破解是信息入侵技术最基础,也是最实用的目标。密码破解一开始,自然是人工猜测破解,就是现在也还经常看到新闻,说某熊孩子用父母的手机玩游戏,猜到了支付宝或者网银的密码,然后花了几万块买道具之类的新闻。暴力破解密码,说白了,就是一个一个的去试。在各种黑客技术里,这是对技术要求最低的一种方法。比如说,银行卡密码,通常是一个6位数,现在很多银行为了提高密码的健壮性,强制进行了一些规定,比如不能使用户主的生日,不能使用6位同样的数字之类的。我们假设这个密码没有任何限制,就是一个6位数字。每个数字可以是0-9这10个数中的一个,那么从理论上,就是从000000到999999(10^6,10的六次方,100万)种可能性,随着位数的增加,可用字符的范围的扩大,这个数字是以指数的形式增长的。比如,如果可以用字母+数字,再把位数变成8位,就是(26+10)的8次方,如果再加上区分大小写和特殊字符,很快就会变成天文数字。就算用暴力破解的方式一个一个的去试,也要花费巨大的时间。可能性巨大之后,要想减少时间,就要减少测试的数量,现在程序的智能还没有到会自动帮你判断的程度,所以黑客们就需要自己编写一个字典,把常见的密码,或者可能性比较大的密码列在里面,供破解程序参考,优先使用。比如什么000000,111111,888888之类的。
--------------------
顺便说说密码的设置,密码的设置其实是个悖论,因为安全性高的,健壮的密码,通常都不好记忆,而好记忆的密码一般安全性自然相对较差。安全性最高的密码一般是随机生成的,但是这种密码基本上你只能抄写下来才行,普通人是别想记住了。提高密码健壮性的方法通常有:小写字母,大写字母,数字,符号混合使用;尽量减少和你本人的关联性(尽量不要使用自己的生日,名字,电话号码,用户名作为密码或者密码的部分);尽量少使用常见的单词;经常更换密码;不同的账号不要使用相同的密码(这点其实很重要,之前有过这样的事情,使用苹果手机的用户,将苹果账户的密码设置成和QQ账户相同,然后因为被破解了QQ账户的密码,被黑客锁了苹果手机遭到勒索);不要把密码明文记录在电脑上(写个记事本一存这种);如果你实在需要写下来记录,建议你记录在纸上(拿个小本记着。。。);对于大多数人来说,可能在设置密码的时候都会有种【我比黑客聪明】的错觉,但实际上,大多数时候黑客考虑得比你还多。比如说单词的大小写混插,I(大写的字母i)和l(小写的字母L)互换,甚至是用键盘位置的符号表示数字(比如,生日是20170401,就输入@)!&)¥)!这种),或者,你的女朋友的名字和生日等等,这些方法目前黑客都会考虑到,无非是你的账号的价值是不是值得他们去做这件事而已。
-------------------
好了,这次就先到这里,下次来聊聊社会工程学攻击。
2017年04月01日 03点04分
1
这次来说说暴力破解和密码安全。
密码破解是信息入侵技术最基础,也是最实用的目标。密码破解一开始,自然是人工猜测破解,就是现在也还经常看到新闻,说某熊孩子用父母的手机玩游戏,猜到了支付宝或者网银的密码,然后花了几万块买道具之类的新闻。暴力破解密码,说白了,就是一个一个的去试。在各种黑客技术里,这是对技术要求最低的一种方法。比如说,银行卡密码,通常是一个6位数,现在很多银行为了提高密码的健壮性,强制进行了一些规定,比如不能使用户主的生日,不能使用6位同样的数字之类的。我们假设这个密码没有任何限制,就是一个6位数字。每个数字可以是0-9这10个数中的一个,那么从理论上,就是从000000到999999(10^6,10的六次方,100万)种可能性,随着位数的增加,可用字符的范围的扩大,这个数字是以指数的形式增长的。比如,如果可以用字母+数字,再把位数变成8位,就是(26+10)的8次方,如果再加上区分大小写和特殊字符,很快就会变成天文数字。就算用暴力破解的方式一个一个的去试,也要花费巨大的时间。可能性巨大之后,要想减少时间,就要减少测试的数量,现在程序的智能还没有到会自动帮你判断的程度,所以黑客们就需要自己编写一个字典,把常见的密码,或者可能性比较大的密码列在里面,供破解程序参考,优先使用。比如什么000000,111111,888888之类的。
--------------------
顺便说说密码的设置,密码的设置其实是个悖论,因为安全性高的,健壮的密码,通常都不好记忆,而好记忆的密码一般安全性自然相对较差。安全性最高的密码一般是随机生成的,但是这种密码基本上你只能抄写下来才行,普通人是别想记住了。提高密码健壮性的方法通常有:小写字母,大写字母,数字,符号混合使用;尽量减少和你本人的关联性(尽量不要使用自己的生日,名字,电话号码,用户名作为密码或者密码的部分);尽量少使用常见的单词;经常更换密码;不同的账号不要使用相同的密码(这点其实很重要,之前有过这样的事情,使用苹果手机的用户,将苹果账户的密码设置成和QQ账户相同,然后因为被破解了QQ账户的密码,被黑客锁了苹果手机遭到勒索);不要把密码明文记录在电脑上(写个记事本一存这种);如果你实在需要写下来记录,建议你记录在纸上(拿个小本记着。。。);对于大多数人来说,可能在设置密码的时候都会有种【我比黑客聪明】的错觉,但实际上,大多数时候黑客考虑得比你还多。比如说单词的大小写混插,I(大写的字母i)和l(小写的字母L)互换,甚至是用键盘位置的符号表示数字(比如,生日是20170401,就输入@)!&)¥)!这种),或者,你的女朋友的名字和生日等等,这些方法目前黑客都会考虑到,无非是你的账号的价值是不是值得他们去做这件事而已。
-------------------
好了,这次就先到这里,下次来聊聊社会工程学攻击。
