关于拖库和撞库的思考与对策

2016-02-09 21:48:45 +08:00
 wujunze

关于拖库和撞库的思考与对策 https://wujunze.com/tuoku_zhuangku.jsp
V 友们 你们发表意见吧

3315 次点击
所在节点    信息安全
13 条回复
ryd994
2016-02-09 22:01:38 +08:00
1. 同学你听说过彩虹表么?
2. 根据统计结论,可以针对常用密码做字典,反正又不需要保证破解所有密码
3. 有大量的弱智网站重用盐甚至使用单一的默认盐
4. 有大量的弱智的网站(或者不弱智但因为其他原因)明文保存密码
5. 无论如何,只要用户傻逼,就可以钓鱼
wujunze
2016-02-09 22:06:46 +08:00
@ryd994 说的有道理 学习了
shippo7
2016-02-09 22:12:39 +08:00
关于对策部分,现实中没办法要求所有网站都使用 MD5 加盐,就像不可能要求所有用户不使用弱密码一样,总有一部分人不去做必要的安全防护。

真正有效的对策是实施密码分级设置。容易被脱裤并缺乏加密的通常是小型网站的服务,大型知名网站的安全防护普遍较好。利用这种情况,可以将账户分为如下类型:

1:涉及资金帐户的网站(支付宝, Paypal , Apple ID)
2:国外重要帐号( Google, Twitter, Facebook )
3:国外非重要帐号 (其它论坛,小网站)
4:国内重要帐号(邮箱账户, QQ )
5:国内非重要帐号(其它论坛,小网站)

将这五类帐号分别设置不同密码,即使易被脱裤的 3 , 5 类网站密码泄漏,也不会殃及其它类型账户。
giuem
2016-02-09 22:13:32 +08:00
cheese
2016-02-09 22:31:06 +08:00
无关紧要的网站统一用小号邮箱加 123456 作为账号密码。常使用的,重要的,使用“一个主密码+2 位由网站或者应用的名称或作用变化后得到的字母+一位符号+2 数字”的模式记录,密码总长 11 位,主密码每隔一段时间更换。
ryd994
2016-02-09 22:36:28 +08:00
@shippo7 其实 3/5 可以一样,反正都是用完扔的帐号
yangqi
2016-02-09 22:48:53 +08:00
现在的计算速度根本不需要提前计算 md5 存下来,直接动态计算然后再撞就行了。所以你说的什么存储空间什么的不现实。
airyland
2016-02-09 23:46:18 +08:00
@giuem 这篇文章有点小问题 md5 次不算加密算法吧
wujunze
2016-02-10 10:14:31 +08:00
@airylandMD5 的作用是对一段信息(message)生成信息摘要(message-digest),该摘要对该信息具有
唯一性,可以作为数字签名。用于验证文件的有效性(是否有丢失或损坏的数据),对用户
密码的加密,在哈希函数中计算散列值。
wujunze
2016-02-10 10:15:23 +08:00
@airyland md5 算是一种非对称算法吧
9hills
2016-02-10 10:18:41 +08:00
我能说就不能放弃 MD5 么?到底大家是有多喜欢 MD5 啊


@wujunze md5 就不应该和密码存储放到一起,设计就不是要干这个的
DesignerSkyline
2016-02-10 10:44:43 +08:00
能用 scrypt 为何不用 scrypt 呢?
wizardforcel
2016-02-10 20:16:03 +08:00
加盐只是多花一些开销来计算罢了,毕竟盐不妨碍正常的登录逻辑。黑客还可以不拿到数据库,直接通过网页或移动入口来撞,俗称扫号。现有的验证码判定都是针对 id 而不是 ip 的,拿已有的库来撞,如果匹配的话一次尝试就完成了,如果不匹配就直接放弃。

还是在大型网站泄露之后发公告让用户改密码吧。剩下那些不改的都是不常用的,盗了也损失不了啥价值。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/255935

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX