翻译--黑客解剖
原文地址:戳这里 译文如下:第一次翻译,如有不当请指出,多谢。 这里说下hacker和cracker的区别啊。“Hacker”们建设,而“cracker”们破坏。
文章标题
黑客解剖:破解者如何将破解如“qeadzcwrsfxv1331”这样的密码
对于Ars,三个破解者拥有16,000多个散列密码,成功率达90%。
在三月份,为读者所追随的Ars副编辑Nate Anderson和自我认为是新手的哥们进行密码破解,他们下载了超过16,000个散列密码的列表。几个小时后,他解密花了近一半的时间。 从这个故事中可以想象到:如果作为一个零基础的密码破解者在古代能有这样的效果,想像一下,拥有更多丰富经验的破解者可以做些什么。
不再多想,我们问了三名破解专家攻击同一名单,攻击了安德森的目标,并且在他们的颜色和技术细节中重复了他们所有的颜色和技术细节。 老实说,这个结果是令人大开眼界的,因为他们展示了与信件、 数字以及字母的快速解密,还有符号可以被发现。
该列表包含使用MD5加密散列函数转换为散列的16,449个密码。拥有安全意识的网站永远不会以明文形式存储密码。 相反,它们仅与这些所谓的单向散列一起工作,这些哈希无法在数学上转换回原来由用户选择的字母,数字和符号。如果出现泄漏密码数据的安全漏洞,攻击者仍然必须仔细猜测每个哈希的明文 .例如,他们必须猜测“5f4dcc3b5aa765d61d8327deb882cf99”和“7c6a180b36896a0a8c02787eeafb0e4c”是“password”和“password1”的MD5哈希值区别。 (有关密码散列的更多详细信息,请参阅早期的Ars功能“为什么密码从未变弱 - 破解者从未如此强大”)
虽然安德森的 47% 成功率令人印象深刻,但与真正的破解者相比,它很微弱,正如安德森自己所做的一样。 为了证明这一点,我们给了他们同样的名单,透过肩膀看着他们把它撕成碎片。 悄悄地说,他们并没有让人失望。 即使是最不成功的三重奏的破解者,只使用最少的硬件,只用了一个小时,使用了一个小小的单词列表,并在整个过程中进行了面试 - 能够破译62%的密码。 我们的顶级破解者占90%。
Ars密码团队包括破解软件开发商,安全顾问和匿名破解者。最彻底的三个裂缝是由Stricture咨询集团的密码专家Jeremi Gosney进行的。使用单个AMD Radeon 7970显卡的商用电脑,花了他20个小时来破解了14,734个散列,成功率达到了90%。 oclHashcat-plus的主要开发人员Jens Steube也取得了令人印象深刻的成果。 (oclHashcat-plus是免费提供的密码破解软件Anderson和本文中使用的所有破解)。Steube在一个多小时内解散了13,486个哈希(82%),使用了一台功能更强大的机器,其中包含两个AMD Radeon 6990显卡。第三个破解者,由moniker radix使用一台7970卡的计算机解密了62%的哈希值,也在大约一个小时内。如果在整个演习中他没有遇到一些问题,他可能会更多地破解。
“平原”的清单,许多破解者指的是解密散列,包含通常的常用密码列表,这些密码在几乎每个涉及消费者网站的违规行为中都可以找到。 “123456”,“1234567”和“密码”,还有“letmein”,“Destiny21”和“pizzapizza”。 这种类型的密码是无可救药的。 尽管进一步的调整,“p @ $$ word”,“123456789j”,“letmein1!”和“LETMEin3”也同样糟糕。 但是,在泄露的列表中过度使用和容易破解的密码之间的散布,许多读者可能认为是相对安全的。 “:LOL1313le“在那里,以及”Conyisland9 /“,”momof3g8kids“,”1368555av“,”n3xtb1gth1ng“,”qeadzcwrsfxv1331“,”m27bufford“,”J21.redskin“,”Garrett1993 *“和”Oscar + emmy2“
一个破解密码的小样本。
与Gosney和Steube的情况相比,这篇文章中所有三个破解者的字眼都表现了接近10亿的字眼,其中没有一个包含“Coneyisland9 /”,“momof3g8kids”或者超过10,000个其他平川, 通过了几个小时的努力。 那么他们是怎么做到的呢? 简短的答案归结为两个变量:网站不幸和不负责任地使用MD5和账户持有人使用非随机密码。 ---待更新
腾讯云开发者
