翻译--黑客解剖

原文地址:戳这里 译文如下:第一次翻译,如有不当请指出,多谢。 这里说下hacker和cracker的区别啊。“Hacker”们建设,而“cracker”们破坏。

文章标题

黑客解剖:破解者如何将破解如“qeadzcwrsfxv1331”这样的密码

对于Ars,三个破解者拥有16,000多个散列密码,成功率达90%。 在三月份,为读者所追随的Ars副编辑Nate Anderson和自我认为是新手的哥们进行密码破解,他们下载了超过16,000个散列密码的列表。几个小时后,他解密花了近一半的时间。 从这个故事中可以想象到:如果作为一个零基础的密码破解者在古代能有这样的效果,想像一下,拥有更多丰富经验的破解者可以做些什么。 不再多想,我们问了三名破解专家攻击同一名单,攻击了安德森的目标,并且在他们的颜色和技术细节中重复了他们所有的颜色和技术细节。 老实说,这个结果是令人大开眼界的,因为他们展示了与信件、 数字以及字母的快速解密,还有符号可以被发现。 该列表包含使用MD5加密散列函数转换为散列的16,449个密码。拥有安全意识的网站永远不会以明文形式存储密码。 相反,它们仅与这些所谓的单向散列一起工作,这些哈希无法在数学上转换回原来由用户选择的字母,数字和符号。如果出现泄漏密码数据的安全漏洞,攻击者仍然必须仔细猜测每个哈希的明文 .例如,他们必须猜测“5f4dcc3b5aa765d61d8327deb882cf99”和“7c6a180b36896a0a8c02787eeafb0e4c”是“password”和“password1”的MD5哈希值区别。 (有关密码散列的更多详细信息,请参阅早期的Ars功能“为什么密码从未变弱 - 破解者从未如此强大”) 虽然安德森的 47% 成功率令人印象深刻,但与真正的破解者相比,它很微弱,正如安德森自己所做的一样。 为了证明这一点,我们给了他们同样的名单,透过肩膀看着他们把它撕成碎片。 悄悄地说,他们并没有让人失望。 即使是最不成功的三重奏的破解者,只使用最少的硬件,只用了一个小时,使用了一个小小的单词列表,并在整个过程中进行了面试 - 能够破译62%的密码。 我们的顶级破解者占90%。 Ars密码团队包括破解软件开发商,安全顾问和匿名破解者。最彻底的三个裂缝是由Stricture咨询集团的密码专家Jeremi Gosney进行的。使用单个AMD Radeon 7970显卡的商用电脑,花了他20个小时来破解了14,734个散列,成功率达到了90%。 oclHashcat-plus的主要开发人员Jens Steube也取得了令人印象深刻的成果。 (oclHashcat-plus是免费提供的密码破解软件Anderson和本文中使用的所有破解)。Steube在一个多小时内解散了13,486个哈希(82%),使用了一台功能更强大的机器,其中包含两个AMD Radeon 6990显卡。第三个破解者,由moniker radix使用一台7970卡的计算机解密了62%的哈希值,也在大约一个小时内。如果在整个演习中他没有遇到一些问题,他可能会更多地破解。 “平原”的清单,许多破解者指的是解密散列,包含通常的常用密码列表,这些密码在几乎每个涉及消费者网站的违规行为中都可以找到。 “123456”,“1234567”和“密码”,还有“letmein”,“Destiny21”和“pizzapizza”。 这种类型的密码是无可救药的。 尽管进一步的调整,“p @ $$ word”,“123456789j”,“letmein1!”和“LETMEin3”也同样糟糕。 但是,在泄露的列表中过度使用和容易破解的密码之间的散布,许多读者可能认为是相对安全的。 “:LOL1313le“在那里,以及”Conyisland9 /“,”momof3g8kids“,”1368555av“,”n3xtb1gth1ng“,”qeadzcwrsfxv1331“,”m27bufford“,”J21.redskin“,”Garrett1993 *“和”Oscar + emmy2“

一个破解密码的小样本。

与Gosney和Steube的情况相比,这篇文章中所有三个破解者的字眼都表现了接近10亿的字眼,其中没有一个包含“Coneyisland9 /”,“momof3g8kids”或者超过10,000个其他平川, 通过了几个小时的努力。 那么他们是怎么做到的呢? 简短的答案归结为两个变量:网站不幸和不负责任地使用MD5和账户持有人使用非随机密码。 ---待更新

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏C/C++基础

腾讯2016春季校园实习招聘技术岗复试(二面)问题汇总(CC++后台)

2016.4.12日下午在广州东圃参加了腾讯安全技术面的二面。一面是两天前下午4点多结束,晚上大概十点多接到复试(二面技术面)的通知。晚上回来就开始整体一面的问...

1202
来自专栏FreeBuf

解密Myspace密码的姿势

*本文原创作者:泰格实验室,本文属FreeBuf原创奖励计划,未经许可禁止转载 一、背景 MySpace成立于2003年9月,作为比FTI(Facebook、...

25610
来自专栏大数据文摘

数学之美:图论和网络爬虫

2774
来自专栏coding

写下这行代码时,只有我和上帝知道是怎么回事01.烂代码的路径依赖02.对于烂代码应采取零容忍03.代码规范的重要性04.文档的重要性

"算了,这里的代码有说不清的玄机,重构相当于在给自己挖更大的坑,还是按照原来的写法吧..."

853
来自专栏程序人生

是时候想想该怎么删代码了

武林外传里秀才怼上姬无命,来了一段关于「我是谁」的精彩逼问。 我是谁?我生从何来,死往何处,我为何要出现在这个世界上?我的出现对这个世界来说意味着什么,是世界选...

36211
来自专栏FreeBuf

如何利用密码学以及数论基础攻击一个“宣称安全”的密码系统

最近在对基于区块链构建的信任社会(未来社会形态)非常感兴趣,区块技术去中心化的特性,让没有金融机构成为了可能(包括央行,以及各种商业银行)。 除了在数字货币领域...

3477
来自专栏机器人网

11个这类开源名称的词源

  “它适用于信息目前掌握在少数人而非许多人手中的任何领域,少数人控制产品、服务或实体的生产、分发和改进的任何领域。”   我们已搞明白了这点,那么“Kuber...

3525
来自专栏编程一生

大话高可用

1412
来自专栏编程一生

入我新美大的Java后台开发面试题总结

2056
来自专栏C语言及其他语言

想举办自己的编程比赛? 来这里

大家都知道C语言网(www.dotcpp.com)是一个集在线学习、训练、比赛、求职于一体的综合性编程学习网站。大家除了日常在网站上看视频学习、做题训练、写题...

1922

扫码关注云+社区

领取腾讯云代金券