他说想破解我密码没那么容易,我是黑客破解,他啥意思?

来源:蜘蛛抓取(WebSpider) 时间:2015-05-19 02:25 标签: 黑客破解qq密码
当前位置: >
55 位以下的密码都不安全了?黑客破解密码也没那么暴力
图片:Riebart / CC BY作者:苏莉安,科学家:我们在特定条件下,通过静脉注射药物使小白鼠尾部的某种癌细胞活性下降了5媒体:科学家攻克癌症了!人类的希望!Hashcat:我们改进了密码破解工具,支持的最大密码长度由15位升为55位。媒体:噢!55位以下的密码都不安全了!我们的账号马上就会被盗走了!网络安全是个值得重视的问题,但需要担心的不是一个工具破解多少位密码,更不是拿一些断章取义、耸人听闻的消息来吓人。先澄清一下问题中最唬人的“每秒80亿个密码”,不是某些人想象中的每秒破解掉80亿个账户的密码,也不是每秒跑到网站上去试80亿次你的密码——你受得了网站还受不了呢。实际情况一般是这样的:破解者从某些渠道搞到了一大批用户名和hash后的密码,然后打算破解出原始密码,这样就能直接拿来登录网站了。hash也叫哈希函数或散列函数,就是把你的原始密码拆散组合计算后变成一大串乱码,肉眼绝对看不出来原来是什么内容,常用的hash算法有md5、sha1、sha256等。假如你的密码是“123456”,那么它md5的结果就是“e10adc3949ba59abbe56e057f20f883e”。而且只要原文稍有变动,md5结果就会彻底变化。比如“123455”的md5结果是“00c66aaf5f2c3fad2ea0d3”,跟上面的没有半个字相同。网站的数据库里不会存放你的“123456”,只会存这堆字符,就算被人把整个数据库拖走,也没法直接拿你的用户名和密码登录网站,必须要进行破解。而且所有的hash都有个特点,就是无法反推出原文。道理很简单,比如md5的长度是固定的32位,所以它的数量是有限的,而原文要多长有多长,数量是无限的,从个位数到几十G的大文件都能hash成32位的字符串。有限个对上无限个,总会有重复,所以理论上hash无法真正破解,因为一段密文对应了无数原文。但反过来想,只要找到这无数原文中的任何一个,就等于找到原始密码了。假设我得到了某段md5密文,经过数百上千亿次尝试后终于试出某个字串,它的md5结果也是这段密文,这种“破解”方法的学名叫碰撞(collision)。而碰撞出来的字串此时等同于原始密码。上面说的“每秒80亿”,其实就是oclHashcat-plus用暴力破解时计算hash的最高速度,它用的是显卡GPU不是CPU,因为现在显卡的性能比CPU强多了。看上去快得吓人,实际没那么厉害,要知道8位大小写英文加数字的密码一共有多少种?(26 26 10)的8次方,2183401亿。每秒80亿次的话,7.5小时才能试完一个。密码长度加一位,时间至少增长62倍。如果密码里还有各种字符,那时间就更长了。想想55位的密码要多久才能破?还没算到百万分之一,想登录的网站都倒闭了。不过且慢,尽管暴力破解要费很长时间,这并不代表你的账户密码从此安全了,黑客也没那么蠢,只会傻乎乎地一个个硬算密码,人家有的是方法:字典:绝大部分普通用户的密码简单得令人发指,纯数字、生日、名字、单词、拼音……把这些东西排列组合在一起,做成一个密码字典,计算量比直接暴力破解少了几个数量级。某人拿到了100万个hash,假如纯暴力破解要一年,那用字典可能两小时就破解出了80万个,剩下的可以整理出来再去用别的方法破,反正手头已有的80万个账号密码想干啥干啥。彩虹表:毕竟不是什么密码都能放到字典里,稍微复杂的就不行了,最终还是得靠暴力。有人想出了提升效率的方法,就是空间换时间,不用你一个个当场hash,而是提前算好,存到一张巨大的表里,破解时只查不计算,速度有了极大飞跃。使用彩虹表进行破解,普通PC也能达到每秒1000亿次以上的惊人速度。而且许多网站为了增加安全性,不会简单地做一次md5就保存到数据库。比如md5后再md5一次;或者在原始密码前后补上一串字符,增加密码长度后再hash,学名叫加盐(salt);这些算法的结果都可以加入彩虹表中。网上公开了数百G的彩虹表供下载,花一星期下载它比自己花几个月算出来可合适多了。最完善的彩虹表差不多能破解出目前网上99.9密码。高性能电脑和集群:前面说的每秒80亿次是一块顶级显卡的速度,但最新版oclHashcat-plus已经支持最多128个显卡核心。这张图是Hashcat团队的电脑,计算核心是8块HD7970显卡,总价上万美元: 它的速度有多快?反正我尝试用自家电脑运行oclHashcat-plus暴力破解一个8位的、字母数字符号混合的密码预计需要29天,而这台只需要不到12小时。 但它再强也只是单台电脑,顶级黑客拥有的集群计算资源包括肉鸡等等,辅以前面讲到和没讲到的各种算法,破解几千万甚至上亿的密码并不难想象。另一个问题中提到顶级黑客手中有十几亿条账号密码、用云计算破解hash,虽然我不认识人家,但这些技术的可行性当然是确凿无疑的。 上面说的都是黑客一方拖走别人数据库后进行的破解,要知道,拖库本来就是通过漏洞和入侵才能进行的。如果服务器安全做得好,黑客很难拿到用户数据;但如果网站方自己不上心,后门漏洞一大堆,四五流的黑客都能在里面逛大街,那你的账号密码基本上就难保贞操了。甚至有更愚蠢的事件:比如前两年CSDN论坛900多万用户数据泄露,密码居然是明文存储、连一次hash都没做——这件事实在颠覆我的世界观,要知道它可是个程序员网站——遇到这种事,只好自认倒霉,去别的网站改掉同一个密码吧。一开始觉得问题中的消息太断章取义,本想简单解释解释,说明它没这么可怕。结果越写感觉越会让不明真相的群众更担心“黑客好像随手就把我的密码拿走了救命啊啊啊啊”。这个……还是总结一下吧:所谓“密码破解器支持每秒80亿个最多55位的密码”并没有惊天动地的大意义,虽然它能使现在最高配置的个人电脑达到十几年前超级计算机的破解效率,但尚未从量变引发质变。而且更重要的是怎么侵入数据库得到hash过的密码,这个的技术含量和危害程度才高,至于弄出来之后怎么破就是另一个问题了。对普通网民来说,顶级黑客的能力确实惊人,但做什么事都要考虑代价,正如美国的核弹头不会瞄准隔壁老王家窗户,能入侵整个阿里巴巴的黑客也不会花大精力去偷你支付宝里的几百块钱。与其担心存放在网站的数据被大盗弄走,不如平日加强自己的安全知识,避免那些水平不高但行为恶劣的小贼,比如植入木马、上传私人数据、偷微博账号发垃圾消息……自己不是搞安全的,只能讲点粗浅入门知识,如有错误请见谅并指正。对了最后再说一点,如果不是专业黑客,那oclHashcat-plus的最大作用之一可能是破解邻居的wifi密码……它绝对比某些一键式破解工具快,缺点是你得自己抓wpa握手包。
进入: 栏目主页
评论列表(网友评论仅供网友表达个人看法,并不表明本站同意其观点或证实其描述)黑客破解密码就像我们自己使用起来那么简单
杀软公司Avast的研究信息安全专业人员称,黑客破解密码就像我们当事人使用起来那么直接、简单。Avast的 Antonín H??a从事多年的密码安全研究工作,收集了近40000个密码样本,发现这些样本中只有10%的密码“超出正常情况可以猜测、破解的水平”,其余的密码安全级别很低,黑客可以非常简单的破解掉。
在这些样本中,几乎没有哪个密码中包含大写英文字符,尽管软件安全专家经常提醒要使用大写、小写混合字符来设定密码。令人吃惊的是,这些密码长度平均为6个字符,并且只有52个密码超过12个字符。经常提到的密码中要使用一些特殊字符,但是真正设定这样格式的人屈指可数。黑客可能也是使用简单的密码,这是因为他们不会担心这个密码被其他黑客攻击,或者只是为了在一些恶意软件中使用自己的密码,暴漏自己的密码规则。对于我们来说,无论哪种方式,我们都要有点安全意识,因为我们不知道黑客什么时候会对我们发起攻击。
[责任编辑:warmlonely]
-5-4-3-2-1012345
当前平均分: 打分后显示
-5-4-3-2-1012345
当前平均分: 打分后显示他说想破解我密码没那么容易,我是黑客,他啥意思?_百度知道
他说想破解我密码没那么容易,我是黑客,他啥意思?
朋友我认真想跟玩笑祝朋友每都快乐
其他类似问题
为您推荐:
黑客的相关知识
其他5条回答
想侵犯隐私
他意思就是比你牛逼
.......我很想知道你要怎么破解
居然有人姓黑的
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁---10月27日 18:39

我要回帖

更多关于 黑客破解qq密码 的文章

 

随机推荐