<分享>一篇有关爆破hash密码的有趣文章

分享一篇很有意思的文章,出自Ars Technica。
主要讲的是ars请了三个hacker,给他们一份拖库得到的密码表,包含由16000多个hash过得密文,让他们爆破,时间是20个小时。结果是三个hacker中最好的一个得到了90%的明文,最差的因为在20个小时中接受采访,准备不充分等原因,干掉62%,文章主要请他们讲下是如何做到的,以及讨论什么样的密码才是好密码:做到又难爆破又好记,还有怎样指定合适的密码策略。
英文原文链接

我知道你不喜欢看又臭又长的英文,这篇不那么专业的译文出自煎蛋,请忽视评论。

谈谈我的感想:

  1. 现在早已不是彩虹表的时代了,专业的都是用A卡GPU+hashcat 软硬结合分布式爆破,再结合模式匹配算法,辅以社会工程学手段…一句话,专业
  2. 加盐还是有点用的
  3. 实际中,再好的加密算法也只能保证安全的一部分,关键是要有密码策略。当然,你要遇上CSDN那种明文存数据库的,当我没说。

这个我比较感兴趣

汉字密码 随便两句古诗 好记又难被暴力破解 :7_145:

伙计,你以为老外不懂中文啊!你能想到的人家就能想到,真拿唐诗三百首做个字典出来,你这密码立马玩完,只要试出前几个字,立马整个都出来了!
要我说,汉字密码真正有价值的在于错别字,我们每个人的输入习惯是不一样的,具体反映再搜狗拼音输入法的词频统计上;还有就是笔画顺序,写个汉字多少都会有点逆笔的,这些都是可以用来作为密码的好素材。用双因子认证的那套说法来说,就是your acton!

随便漏几个字 两句诗不是同一首
成语 歇后语都可以 关键是别写正确:7_142:

各种方言混合 :4_87:

各种方言混合 :4_87:

现代版本的风语者?

很久以前测试了下,显卡比较烂
MD5crack_GPU.png

密码加密后是有整体性的,不会先爆破出前几个字。如果很多人都用相同的古诗什么的,彩虹表又会派上用场了