分享一篇很有意思的文章,出自Ars Technica。
主要讲的是ars请了三个hacker,给他们一份拖库得到的密码表,包含由16000多个hash过得密文,让他们爆破,时间是20个小时。结果是三个hacker中最好的一个得到了90%的明文,最差的因为在20个小时中接受采访,准备不充分等原因,干掉62%,文章主要请他们讲下是如何做到的,以及讨论什么样的密码才是好密码:做到又难爆破又好记,还有怎样指定合适的密码策略。
英文原文链接
我知道你不喜欢看又臭又长的英文,这篇不那么专业的译文出自煎蛋,请忽视评论。
谈谈我的感想:
- 现在早已不是彩虹表的时代了,专业的都是用A卡GPU+hashcat 软硬结合分布式爆破,再结合模式匹配算法,辅以社会工程学手段…一句话,专业
- 加盐还是有点用的
- 实际中,再好的加密算法也只能保证安全的一部分,关键是要有密码策略。当然,你要遇上CSDN那种明文存数据库的,当我没说。
