摘要:圖片來源可能大部分人都沒有意識到設置密碼不走心的嚴重性,直到熱心市民劉先生現身說法。網絡平臺上有超過萬個公開的密碼集。對其再次進行虛擬破解有助于提高個人密碼安全意識,防范真實密碼破譯攻擊。萬個密碼中被破解。
全文共2512字,預計學習時長4分鐘
事情是這樣發生的。
在某個陽光明媚的下午,熱心市民劉先生正吃著火鍋唱著歌,“叮~”,手機突然收到一條短信。以為是系統短信的他,起期初毫不在意,誰知隨后一連串的叮叮聲根本停不下來。
劉先生拿起手機一看,一臉懵逼,當即上頭。
自己的Apple store 內購突然多了20多條賬單記錄,都是購買王者農藥的點券消費,加起來有個小三千。
不對啊,家里也沒熊孩子啊。
慌亂中問及度娘:親親,您的Apple ID綁定了支付寶的免密支付,AppleID可能被盜刷了哦~致電蘋果和支付寶客服,一場維權拉鋸戰正式開始。
移動互聯網時代,人們以一串字符為密碼,將自己的信息、秘密、金錢都托管到了網絡。
人們設置密碼來保護網絡中的一切:從電子郵箱到銀行賬戶再到加密交易賬戶。大部分人對密碼的定位只是一串可以login in的字符,所以怎么好記怎么來。早些時候12345678走天下,后來迫于系統要求,才靈機一動設了個姓名首拼+生日。
圖片來源:unsplash.com/@cmdrshane
可能大部分人都沒有意識到設置密碼不走心的嚴重性,直到熱心市民劉先生現身說法。目前不法分子竊取蘋果賬號的主要方式還是“撞庫”和釣魚網站。
出于對密碼破解的單純興趣或者其他不為人知的原因,有大量研究復雜密碼破解算法的論文,這些算法利用極為復雜的概率和機器學習技術,能夠破譯90%以上的密碼。
盡管如今許多平臺使用雙重驗證系統(2FA),但該系統并未被大范圍或強制推廣,絕大部分平臺仍不支持2FA。甚至大部分“心大”市民,完全沒有要啟用雙重驗證的意識。
破解密碼的算法強大到細思恐極,然而普羅大眾還是樂呵呵置身事外,“有多少普通人能夠使用這些算法呢?為什么黑客就一定會攻擊我?”
是時候揭秘,破解一個密碼有多簡單了!
背景簡介:存儲密碼
使用密碼登錄應用程序時,所需步驟順序如下:
用戶輸入密碼(傳送密碼并進行驗證)
所輸入的密碼與記錄密碼進行比對
如果二者相同,用戶可繼續訪問應用
然而,密碼傳送和存儲的安全性堪憂。為了保障安全,許多系統將用戶密碼的散列儲存在數據庫中,而不是密碼本身。密碼散列本身是不可逆雜亂密碼;如果黑客獲取了密碼散列,無法反推密碼。
在此類加密系統中,密碼登錄的步驟順序如下:
用戶輸入密碼
本地計算散列(密碼)并進行傳送
對比記錄的散列
如果二者相同,用戶可繼續訪問應用
背景簡介II:暴力破解散列
對于使用散列的加密系統,如果黑客入侵密碼數據庫,他們仍無法獲取用戶密碼。由于黑客無法通過密碼散列反推密碼,他們進行以下操作:
任意猜一個密碼
計算該密碼加密文件
對比實際散列
重復上述步驟,直到猜中密碼
這聽起來是一個浩大的工程,但如果使用機器,可同時作出1000個猜測。在無數的可能性中隨機找到真正的密碼就不費吹灰之力了。
攻擊
軟件
破解密碼一般會用Hashcat軟件,這是一個先進的密碼還原工具,被稱為“世界上最快速的密碼破解器”。
Hashcat是一個開源工具,其官網提供可供下載的數據源和二進制文件,維基百科上也有對此工具的詳細講解。只要堅守想當“黑客”的一腔熱情,很快可以學會Hashcat。
硬件
可以用Nvidia Tesla K80運行Hashcat——這是一個擁有4992個內核的GPU,在亞馬遜云上可以租用,價格喜人,只需0.9美元/時。
與普通的手提電腦相比,K80的運行速度比普通因特爾圖形處理器快16倍。K80每秒可計算8億個SHA-256加密文件,也就是幾乎每小時3萬億個。
Unbelievable。
密碼
這只是一個實驗,當然不可能用真正的賬號密碼啦。網絡平臺上有超過1400萬個公開的密碼集。對其再次進行虛擬破解有助于提高個人密碼安全意識,防范真實密碼破譯攻擊。在開始實驗前,已經抹掉了這份已泄漏文件中所有的個人身份信息。
攻擊邏輯
通過Hashcat可以暴力破解密碼(即對特定長度的密碼進行無限嘗試),也可以進行更為復雜的攻擊。眾所周知,大多數人會基于一個單詞來設置密碼,形式各有不同:
· 僅僅是一個單詞(可能字母大小寫不同)——Password
· 單詞加數字/符號后綴——monkey! 或 Coffee12
· 單詞、數字、符號混合使用的“火星文”—— p4ssw0rd o或f4c3b00k
· 多個單詞連接——isthissecure
巧的是如果上傳一份單詞列表文件,Hashcat內置的多種模式會進行如下猜測:
· 單詞
· 單詞加任何數字/符號后綴
· 有特定規律的單詞(如把所有“o”替換成“0”)
· 任何單詞組合
因此,可以下載了一份包含幾百萬英語單詞詞典文件以進行攻擊。
此時,攻擊范圍就可以更為廣泛,同時也能選定Hashcat應該嘗試的“面具”。無需再使用Hashcat嘗試有7萬億個組合的“所有長度為8的密碼”——有——只需嘗試“6個小寫字母加2個數字”的密碼。
那么攻擊結果如何呢?
實話說…攻擊結果遠比想象中好,簡直成功得駭人……
· 2小時內:48%的密碼被破解
· 8小時內:幾乎70%的密碼被破解
· 20小時內:超過80%的密碼被破解
總結一下:20個小時。每小時0.9美元。總計18美元。1400萬個密碼中80%被破解。
對于這個結果,各位再消化一會兒…
這太嚇人了。大家一定要提高自己密碼的安全性。僅僅把“o”替換成“0”或把“e”替換成“3”還不夠。加上數字和符號后綴也不足以抵抗攻擊。這些模式都是可以被預測的。
人們正是遵循了某些可預測的規則才導致密碼輕易破解。最科學的辦法是把密碼交給管理器,比如LastPass 或 1Password等。
不過如果你的腦回路足夠優秀,也可以嘗試把密碼改成圓周率后六位嘻嘻嘻(手動狗頭)。這樣別說是黑客,全世界都沒有人知道你的密碼
啦。
留言 點贊 關注
我們一起分享AI學習與發展的干貨
歡迎關注全平臺AI垂類自媒體 “讀芯術”
(添加小編微信:dxsxbb,加入讀者圈,一起討論最新鮮的人工智能科技哦~
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/45440.html
摘要:加密數字貨幣價格巔峰,區塊鏈成二線企業股價春藥年月日,是區塊鏈行業的高光時刻,整個加密數字貨幣市值億美元,人民幣近萬億元。直接原因是,當日,中網載線剛剛宣布與井通網絡科技有限公司合作開展區塊鏈產業。 加密數字貨幣價格巔峰,區塊鏈成二線企業股價春藥 2018 年 1 月 8 日,是區塊鏈行業的高光時刻,整個加密數字貨幣市值 8139 億美元,人民幣近 6 萬億元。在 10 天之前,12 ...
摘要:但現在,作為全球頂級網絡托管公司的公司報告說,超過萬客戶的數據已被曝光,且數據暴露已有數月。而哈希公鑰被認為是的行業最佳做法。宣布,目前正在進行調查,并正在與所有受影響的客戶直接聯系,提供具體細節。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;overflow-x:...
摘要:怎么樣才算是一個完美的以太坊開發者在以太坊開發者精湛的技能中,最重要的是要知道將最優秀的與其他人區分開的基本品質是什么優秀的開發人員必須不僅僅是具有區塊鏈編碼技能的開發人員。以太坊帶來了區塊鏈技術可能實現的全部應用范圍。 對優質區塊鏈開發人員的需求很大,這是有充分理由的。區塊鏈和ICO領域在過去幾年中爆炸式增長。越來越多的人試圖進入并在該領域中揚名立萬。但是,為了獲得成功,他們擁有一支...
摘要:但只要提到去中心化,人們第一時間想到的還是去中心化交易所。那么,交易所為什么要去中心化安全問題自年開始,全世界范圍內的中心化交易所就接連出現代幣被黑客盜走的事件。 去中心化的前世今生1990年,伯納斯?李爵士發明了萬維網,他希望網絡是去中心化的,能將世界所有人都聚合在一起,互相協作,所以他將萬維網免費交給世人使用。但不久前,伯納斯?李爵士在接受《名利場》雜志采訪時,表達了對當前互聯網的...
閱讀 2895·2021-11-24 09:39
閱讀 1157·2021-11-02 14:38
閱讀 4141·2021-09-10 11:26
閱讀 2743·2021-08-25 09:40
閱讀 2303·2019-08-30 15:54
閱讀 477·2019-08-30 10:56
閱讀 2738·2019-08-26 12:14
閱讀 3211·2019-08-26 12:13