不过我也有被逼急的时候,我一个excel文件的加密密码忘记了,是个六位全数字密码。我想打开这个文件,没有办法我分析了下可以用全枚举攻击强力破解它。我马上使用vb写了一个破解程序,虽然vb运行速度比vc慢几十倍,但是省事,做的快。我破解时发现,当全枚举6位全数字密码时,程序跑飞,跑了一个小时没有结果。我就试5位密码结果几十秒就尝试完毕。看来6位密码破解受到计算机cpu等硬件和操作系统限制,难以实现。我就换一种想法,把六位全数字密码(10的6次方六位密码)分成10个密码本,一次破解一个密码本的秘密。破解10次就全部枚举完毕了,也要不了十几分钟,若运气好破解几千个就试出来了。终于这个文件的秘密被我采用字典式尝试出来了。可以看到被人得到文件多危险,那怕你对文件设置了简单密码。用银行卡的密码没有输入次数限制,知道用户名,破解密码也就十多分钟的事情,甚至优化后只需要几分钟。若你的密码是数字和大小写字母的混合(不包括标点符号),若密码长度达到32位,那是32的62次方个密码,理论上这种密码是没有破解的可能。但是这种原始方案的缺点也很显然,那就是这种密码太复杂太长,用户记不住,其次有被别人截获密码的可能,毕竟现在密码也需要在网上传输的。所以就产生了加密协议。加密协议的作用就是,用户如何一个简单密码,进行加密后就变成32位,64位,128位等密码了,然后在网上传输就安全多了,一般这种加密密码和时间戳也正相关。你截获了也用处不大,就是你把时间参数传递过去了,服务器也和本地时间比对的,超过3分钟他们就认为是非法消息,它是不断变化的,破解很困难。很多网站都有输入次数限制,所以对很多网站的密码破解都集中在加密算法上,很少进行字典式攻击了,当然黑客找到网站的漏洞,绕过次数限制,也会进行字典式轰炸。
以前我在做曹操专车时,遇到一个离奇的事情。一个用户买了优惠券,使用时提示优惠券已经被使用过。但是用户刚刮开涂层,怎么就不能用了呢?原来优惠券是4位纯数字,发放的优惠券比较多,有用户买了优惠券使用了后,输入相连的号码,竟然有很大概率就能试出来有用的优惠券号码,并且客户端没有尝试次数的限制。这个就是现实的字典式攻击的例子。4位全数字密码也就9999个密码,他有多危险知道了吧!
md5是编码算法,别把它当成很高级的加密算法。网上就有字典式破解md5编码的网站,密码长不一定安全,那要看你的编码算法怎么样,最好对密码验证次数进行限时间段限制,时间正相关,风控管理(同一用户或同一ip进行短期大批量操作监控),密码设置为6位及以上数字和字母混合,那样能大大减少被破解的可能性。不过我也有被逼急的时候,我一个excel文件的加密密码忘记了,是个六位全数字密码。我想打开这个文件,没有办法我分析了下可以用全枚举攻击强力破解它。我马上使用vb写个破解程序,虽然vb运行速度比vc慢几十倍,但是省事,做的快。我破解时发现,当6位全数字密码程序跑飞,跑了一个小时没有结果。我就试5位密码结果几分钟就尝试完毕。看来6位密码破解受到计算机cpu等硬件和操作系统限制,难以实现。我就还一种想法,把六位全数字密码(10的6次方减1个六位密码)分成10个密码本,一次破解一个密码本的本。破解10次就全部尝试完毕了,也要不了十几分钟。终于这个文件被我攻破了。可以看到被人得到文件多危险。用银行卡的密码没有输入次数限制,知道用户名,破解密码也就十多分钟的事情,甚至优化后只需要几分钟。若你的密码是数字和大小写字母的混合(不包括标点符号),若密码长度达到32位,那是32的62次方减1个密码,理论上这种密码是没有破解的可能。但是这种原始方案的缺点也很显然,那就是这种密码太复杂太长,用户记不住,其次有被别人截获密码的可能,毕竟现在密码也需要在网上传输的。所以就产生了加密协议。加密协议的作用就是,用户如何一个简单密码,进行加密后就变成32位,64位,128位等密码了,然后在网上传输就安全多了,一般这种加密密码和时间戳也正相关。你截获了也用处不大,就是你把时间参数传递过去了,服务器也和本地时间比对的,超过3分钟他们就认为是非法消息,它是不断变化的,破解很困难。很多网站都有输入次数限制,所以对很多网站的密码破解都集中在加密算法上,很少进行字典式攻击了,当然黑客找到网站的漏洞,绕过次数限制,也会进行字典式轰炸。
以前我在做曹操专车时,遇到一个离奇的事情。一个用户买了优惠券,使用时提示优惠券已经被使用过。但是用户刚刮开涂层,怎么就不能用了呢?原来优惠券是4位纯数字,发放的优惠券比较多,有用户买了优惠券使用了后,输入相连的号码,竟然有很大概率就能试出来有用的优惠券号码,并且客户端没有尝试次数的限制。这个就是现实的字典式攻击的例子。4位全数字密码也就9999个密码,他有多危险知道了吧!
md5是编码算法,别把它当成很高级的加密算法。网上就有字典式破解md5编码的网站,密码长不一定安全,那要看你的编码算法怎么样,最好对密码验证次数进行限时间段限制,时间正相关,风控管理(同一用户或同一ip进行短期大批量操作监控),密码设置为6位及以上数字和字母混合,那样能大大减少被破解的可能性。不过我也有被逼急的时候,我一个excel文件的加密密码忘记了,是个六位全数字密码。我想打开这个文件,没有办法我分析了下可以用全枚举攻击强力破解它。我马上使用vb写个破解程序,虽然vb运行速度比vc慢几十倍,但是省事,做的快。我破解时发现,当6位全数字密码程序跑飞,跑了一个小时没有结果。我就试5位密码结果几分钟就尝试完毕。看来6位密码破解受到计算机cpu等硬件和操作系统限制,难以实现。我就还一种想法,把六位全数字密码(10的6次方减1个六位密码)分成10个密码本,一次破解一个密码本的本。破解10次就全部尝试完毕了,也要不了十几分钟。终于这个文件被我攻破了。可以看到被人得到文件多危险。用银行卡的密码没有输入次数限制,知道用户名,破解密码也就十多分钟的事情,甚至优化后只需要几分钟。若你的密码是数字和大小写字母的混合(不包括标点符号),若密码长度达到32位,那是32的62次方减1个密码,理论上这种密码是没有破解的可能。但是这种原始方案的缺点也很显然,那就是这种密码太复杂太长,用户记不住,其次有被别人截获密码的可能,毕竟现在密码也需要在网上传输的。所以就产生了加密协议。加密协议的作用就是,用户如何一个简单密码,进行加密后就变成32位,64位,128位等密码了,然后在网上传输就安全多了,一般这种加密密码和时间戳也正相关。你截获了也用处不大,就是你把时间参数传递过去了,服务器也和本地时间比对的,超过3分钟他们就认为是非法消息,它是不断变化的,破解很困难。很多网站都有输入次数限制,所以对很多网站的密码破解都集中在加密算法上,很少进行字典式攻击了,当然黑客找到网站的漏洞,绕过次数限制,也会进行字典式轰炸。
以前我在做曹操专车时,遇到一个离奇的事情。一个用户买了优惠券,使用时提示优惠券已经被使用过。但是用户刚刮开涂层,怎么就不能用了呢?原来优惠券是4位纯数字,发放的优惠券比较多,有用户买了优惠券使用了后,输入相连的号码,竟然有很大概率就能试出来有用的优惠券号码,并且客户端没有尝试次数的限制。这个就是现实的字典式攻击的例子。4位全数字密码也就9999个密码,他有多危险知道了吧!
md5是编码算法,别把它当成很高级的加密算法。网上就有字典式破解md5编码的网站,密码长不一定安全,那要看你的编码算法怎么样,最好对密码验证次数进行限时间段限制,时间正相关,风控管理(同一用户或同一ip进行短期大批量操作监控),密码设置为6位及以上数字和字母混合,那样能大大减少被破解的可能性。
