八达网

标题: 我觉得密码是不是明文没啥关系 [打印本页]

作者: 新建文件夹 时间: 2011-12-22 16:19
标题: 我觉得密码是不是明文没啥关系
你在人家的服务器上注册，也就别指望人家不知道你的密码。
关键是别泄露啊！！

作者: PalmCivet 时间: 2011-12-22 16:23
加密就不太怕泄露了，LZ经常各应码农的同时应该多读读书啊

作者: 新建文件夹 时间: 2011-12-22 16:24

PalmCivet 发表于 2011-12-22 16:23
加密就不太怕泄露了，LZ经常各应码农的同时应该多读读书啊

MD5照样可以解

作者: Neutrino 时间: 2011-12-22 16:27

新建文件夹发表于 2011-12-22 16:24
MD5照样可以解

破解MD5成本很高啊，不适合批量的破解。这不是技术问题，绝对是网站的利益问题

作者: 新建文件夹 时间: 2011-12-22 16:30

Neutrino 发表于 2011-12-22 16:27
破解MD5成本很高啊，不适合批量的破解。这不是技术问题，绝对是网站的利益问题

有在线的反向破解，有好几个网站了。

作者: 国妓米兰 时间: 2011-12-22 16:32
国内大部分都是MD5么。。。。

作者: 新建文件夹 时间: 2011-12-22 16:34

国妓米兰发表于 2011-12-22 16:32
国内大部分都是MD5么。。。。

主流的都是md5

作者: PalmCivet 时间: 2011-12-22 16:37

新建文件夹发表于 2011-12-22 16:24
MD5照样可以解

难道你觉得加密就是把密码MD5一下然后放数据库里？

作者: tp_soon 时间: 2011-12-22 16:48
md5加密下足够了，md5解密都是靠大量数据收集型的，反向计算是不可能的，本来加密算法就都是单向函数。
密码长度够，基本都很难破解。超过10位的md5加密，暴力破解基本不可能.
有加密就不怕数据库被暴库得到明文密码了。

作者: 新建文件夹 时间: 2011-12-22 16:49

PalmCivet 发表于 2011-12-22 16:37
难道你觉得加密就是把密码MD5一下然后放数据库里？

你认为如果泄露的话会解不出来？
我知道，有时会还会加入用户名、时间什么字符串的做几次md5。
但是算法知道的话，反向还是可以解的。

另外，SHA-1和MD5二次加密已经可以解了。

作者: blue_cell 时间: 2011-12-22 16:51
提示: 作者被禁止或删除内容自动屏蔽

作者: tp_soon 时间: 2011-12-22 16:51

PalmCivet 发表于 2011-12-22 16:37
难道你觉得加密就是把密码MD5一下然后放数据库里？

多数就是md5加密下放在数据库里，当然8da这种用discuz的论坛应该是md5一次然后有个随即值，再一次md5加密。
当然还有其他加密的方法，多了去了，比如mysql的用的是sha1，也是可能被破解的。

作者: PalmCivet 时间: 2011-12-22 16:58

新建文件夹发表于 2011-12-22 16:49
你认为如果泄露的话会解不出来？
我知道，有时会还会加入用户名、时间什么字符串的做几次md5。
但是算法 ...

你说的没错啊，不过具体加密方法你咋能知道？

作者: Pentium9 时间: 2011-12-22 16:58
难道要加上指纹才是真正的安全？

作者: 新建文件夹 时间: 2011-12-22 17:05

PalmCivet 发表于 2011-12-22 16:58
你说的没错啊，不过具体加密方法你咋能知道？

这咋能不知道。
比如8da用的是Discuz!，去Discuz!官网下一套，研究一下就知道了。
黑客当然更厉害，能搞到库，搞到网站的加密算法也不算难吧。

作者: KoMoS 时间: 2011-12-22 17:16
8位以上大小写字母结合数字符号, 不在字典表里, 你暴力破解破解看

非老大心血对普通用户而已根本没有价值,

破解要有时效才有意义

作者: KoMoS 时间: 2011-12-22 17:19
早年会个html都牛逼到天上去了, CSDN明文密码, 就是因为这站历史悠久, 又不重视

讨论反向破解根本没有实际意义

作者: xiaoqi 时间: 2011-12-22 18:02
历史悠久和加密存放不矛盾啊
花2个小时休息一下就搞定了.
我觉得也不是不重视.
应该是有利益关系在里面..
事实上,数据库泄露的概率是极高的,他们不是不知道.甚至可以说,任一网站数据库泄露的概率几乎是99.9999%
我认为实际上他们的库还是有加密的,供验证时使用.而他们在某一时期将客户的明文密码保存到的另外一处,有商业或其他用途了..
所以泄露的明文库应该是不完整的..

作者: emucxg 时间: 2011-12-23 00:16
MD5, SHA1, SHA256, SHA512, SHA-3 都是垃圾，高手反破解一个密码最多20秒

bcrypt才是王道

作者: Springsun 时间: 2011-12-23 00:22
如果明文没有关系，那加密的意义何在？

作者: H026 时间: 2011-12-23 00:26
提示: 作者被禁止或删除内容自动屏蔽

作者: 大学生很忙 时间: 2011-12-23 00:30
非码农路过

作者: 千夜不眠 时间: 2011-12-23 00:40
MD5直接可以在线解

作者: emucxg 时间: 2011-12-23 00:41

emucxg 发表于 2011-12-23 00:16
MD5, SHA1, SHA256, SHA512, SHA-3 都是垃圾，高手反破解一个密码最多20秒

bcrypt才是王道

http://en.wikipedia.org/wiki/Bcrypt

作者: frds_sos 时间: 2011-12-23 09:36

作者: tp_soon 时间: 2011-12-23 10:46
本帖最后由 tp_soon 于 2011-12-23 10:48 编辑

emucxg 发表于 2011-12-23 00:41
http://en.wikipedia.org/wiki/Bcrypt

20秒？在线破解？网上的是靠搜集数据的。本身能这些加密算法，思路多半一致，都是单向函数。本来就没反函数的，除了暴力破解，还真不知道有啥其他方法。只要密码字符集够大，长度够，基本都是无解的好吧

作者: IronForge 时间: 2011-12-23 11:11
LZ经常各应码农的同时应该多读读书啊 MD5那个是反查啊但是加密算法不只是有MD5吧

作者: IronForge 时间: 2011-12-23 11:12

emucxg 发表于 2011-12-23 00:16
MD5, SHA1, SHA256, SHA512, SHA-3 都是垃圾，高手反破解一个密码最多20秒

bcrypt才是王道

请多读点书谢谢
看片子看多了吧

作者: atom 时间: 2011-12-23 11:14
为什么不用aes

作者: 新建文件夹 时间: 2011-12-23 11:15

atom 发表于 2011-12-23 11:14
为什么不用aes

AES是对称加密

作者: 黑友 时间: 2011-12-23 11:15
...........这年头注重安全你能破解个鸡巴。

作者: 新建文件夹 时间: 2011-12-23 11:23
好吧，我错了！！李叔威武。
他是对的。
我以前只考虑到大多数人用的是普通密码，泄露的话即使加密也很容易被破解。
对少数用高强度密码，其实破解很费劲。

作者: xiaoqi 时间: 2011-12-23 13:17

emucxg 发表于 2011-12-23 00:16
MD5, SHA1, SHA256, SHA512, SHA-3 都是垃圾，高手反破解一个密码最多20秒

bcrypt才是王道

20秒
扯蛋啊

作者: 羊羊羊 时间: 2011-12-23 13:29
专修计算机密码学的渔夫路过。

作者: emucxg 时间: 2011-12-24 00:33
本帖最后由 emucxg 于 2011-12-24 00:36 编辑

xiaoqi 发表于 2011-12-23 13:17
20秒
扯蛋啊

看完再说吧，小白

http://www.win.tue.nl/cccc/sha-1-challenge.html

前题是2000美元买个cuda
http://www.nvidia.com/object/cuda_home_new.html

作者: emucxg 时间: 2011-12-24 00:36
http://codahale.com/how-to-safely-store-a-password/

A modern server can calculate the MD5 hash of about 330MB every second. If your users have passwords which are lowercase, alphanumeric, and 6 characters long, you can try every single possible password of that size in around 40 seconds.

作者: tp_soon 时间: 2011-12-24 11:33
本帖最后由 tp_soon 于 2011-12-24 11:46 编辑

emucxg 发表于 2011-12-24 00:36
http://codahale.com/how-to-safely-store-a-password/

A modern server can calculate the MD5 hash of ...

自己也看了他的限制啊，小写字母数字，6位长度，啊。。。，，，大一点的字符集，怎么破解???长一点的呢？？

还有就是，所有密码都是有可能被破解的，只是代价的问题。

作者: TM.MaRine.Z 时间: 2011-12-24 11:44
逼我换签名的屌丝黑名单:
TNT,PalmCivet,MakubeX,hysteria,71917111,babyk1985,random03,受诉除难,老汉推车,soman4c,cc622

作者: nuist.cola 时间: 2011-12-24 11:53
提示: 作者被禁止或删除内容自动屏蔽

作者: xiaoqi 时间: 2011-12-24 13:26
本帖最后由 xiaoqi 于 2011-12-24 13:26 编辑

modern server can calculate the MD5 hash of about 330MB every second. If your users have passwords which are lowercase, alphanumeric, and 6 characters long, you can try every single possible password of that size in around 40 seconds.

不是20秒吗?

作者: xiaoqi 时间: 2011-12-24 13:40

emucxg 发表于 2011-12-24 00:33
看完再说吧，小白

http://www.win.tue.nl/cccc/sha-1-challenge.html

cuda我不知道是什么,但看起来和处理器有关系.
你也知道要提升运算速度,对于这些算法,事实上现在依然是穷举法在暴力破解.
而关于暴力破解,其实一直在两个方面努力,一方面是存储结构的优化,第二方面是IO系统的优化.
存储结构优化比较经典的应用有rainbow table
IO系统的优化,你要明白瓶颈在磁盘的吞吐能力上....为了保持破解的通用性,这些破解方式始终都在win,linux等主流系统上实现,因而在很长一段时间里,大家利用DBMS来对IO做优化...目前的优化方向是分布式计算...

但不论如何,穷举就是穷举,20秒就是扯蛋.
当然,如果你要拿LMhash来做典型例子的话也可以的..不过,超过14位是什么样子你可以试一下.

作者: emucxg 时间: 2011-12-24 17:07
本帖最后由 emucxg 于 2011-12-24 17:09 编辑

xiaoqi 发表于 2011-12-24 13:40
cuda我不知道是什么,但看起来和处理器有关系.
你也知道要提升运算速度,对于这些算法,事实上现在依然是穷 ...

你看看那些密码有多白痴，ok？我估计20秒都不到

那你告诉我，如果一个用户的密码是12345，你怎么能在不让服务端能接触到密码的情况下加密？难道用md5这种普遍的白痴算法吗？

作者: xiaoqi 时间: 2011-12-24 17:30

emucxg 发表于 2011-12-24 17:07
你看看那些密码有多白痴，ok？我估计20秒都不到

那你告诉我，如果一个用户的密码是12345，你怎么能 ...

你这次说的是密码白痴
你上次说的是加密算法垃圾
改说法了啊?不是说不管md5还是sha1还是其他"垃圾算法"加密的,高手最多只要20秒吗?

作者: SimoN 时间: 2011-12-24 17:41

欢迎光临八达网 (https://www.8-da.com/)