十多年前我曾经入职,国内最好的网络安全厂商。做安全服务项目和重大安保项目。在甲方的授权下,攻破过很多系统,密码方面是经常能碰到的。
当年科学上网,看到国外用GPU做并行运算破解MD5的。可惜那个程序破解效率很低。就想为我的N卡旗舰GTX280,量身定制写一个的。先搞懂了GPU的架构,然后又研究并行运算:threads、block、grid、warp是怎么实现的。好在当年学过C,又捡起来研究一阵CUDA。
后来虽然因为别的事儿,放弃研究GPU密码破解,但为以后打下技术基础。→_→
几年以后入职某大型车联网公司,做车联网安全。公司的总工曾经是JDZY的副总和JD密码方面的教授。问我懂不懂密码,我说没学过(我真的没学过=。=),某教授非要在密码方面和我PK(我去,要占我便宜)。JDZY圈内人都知道是国内密码PKI体系最强的。我抱着少输当赢的心态,被迫在密码方面和某教授PK。
第一次PK,某教授用得MD5。在安全厂商哪些年项目做太多了,常见的MD5数值都能背下来。当时就秒破某教授的密码是123456(居然是弱口令-_-||)。为了照顾某教授的脸面,过了两天才通知他破开了。
第二次PK,某教授用得MD5+盐。在安全厂商做过的项目,有的甲方应用系统用的就是MD5+盐,找到了密码加密规律又破开了。
第三次PK,某教授用得AES。AES是对称算法,如果长度够,是很难破的。不过某教授用得是短长度,结果又又破开了。
第四次PK,某教授自称做了十八年网络安全。这次把生平所学得全都展示出来。HTTP+SSL+数字证书。自信满满的说,这次绝不可能被我攻破。好吧这是上的密码体系,某教授也是够拼的。用RSA非对称算法做得私钥,看样子我得输了。可惜某教授用得SSL,被我发现居然存在漏洞,结果又又又……。为什么我会又说又呢?haha~
后话:做为网络安全架构师,在密码方面和其他方面,我还需要继续提高。
某教授和我说过:密码安全的最高境界是无人能破。您这话说的非常好、非常正确,只可惜某教授您是做不到的,而我会替您实现的
(^-^)。
领取专属 10元无门槛券
私享最新 技术干货