这是一个创建于 3203 天前的主题,其中的信息可能已经有所发展或是发生改变。
关于拖库和撞库的思考与对策 https://wujunze.com/tuoku_zhuangku.jsp
V 友们 你们发表意见吧
 |
1
ryd994 2016-02-09 22:01:38 +08:00
1. 同学你听说过彩虹表么?
2. 根据统计结论,可以针对常用密码做字典,反正又不需要保证破解所有密码 3. 有大量的弱智网站重用盐甚至使用单一的默认盐 4. 有大量的弱智的网站(或者不弱智但因为其他原因)明文保存密码 5. 无论如何,只要用户傻逼,就可以钓鱼 |
 |
3
shippo7 2016-02-09 22:12:39 +08:00 via iPhone
关于对策部分,现实中没办法要求所有网站都使用 MD5 加盐,就像不可能要求所有用户不使用弱密码一样,总有一部分人不去做必要的安全防护。
真正有效的对策是实施密码分级设置。容易被脱裤并缺乏加密的通常是小型网站的服务,大型知名网站的安全防护普遍较好。利用这种情况,可以将账户分为如下类型: 1:涉及资金帐户的网站(支付宝, Paypal , Apple ID) 2:国外重要帐号( Google, Twitter, Facebook ) 3:国外非重要帐号 (其它论坛,小网站) 4:国内重要帐号(邮箱账户, QQ ) 5:国内非重要帐号(其它论坛,小网站) 将这五类帐号分别设置不同密码,即使易被脱裤的 3 , 5 类网站密码泄漏,也不会殃及其它类型账户。 |
 |
4
giuem 2016-02-09 22:13:32 +08:00 via Android
|
 |
5
cheese 2016-02-09 22:31:06 +08:00
无关紧要的网站统一用小号邮箱加 123456 作为账号密码。常使用的,重要的,使用“一个主密码+2 位由网站或者应用的名称或作用变化后得到的字母+一位符号+2 数字”的模式记录,密码总长 11 位,主密码每隔一段时间更换。
|
 |
7
yangqi 2016-02-09 22:48:53 +08:00
现在的计算速度根本不需要提前计算 md5 存下来,直接动态计算然后再撞就行了。所以你说的什么存储空间什么的不现实。
|
 |
9
wujunze OP @airylandMD5 的作用是对一段信息(message)生成信息摘要(message-digest),该摘要对该信息具有
唯一性,可以作为数字签名。用于验证文件的有效性(是否有丢失或损坏的数据),对用户 密码的加密,在哈希函数中计算散列值。 |
 |
11
9hills 2016-02-10 10:18:41 +08:00 via iPhone
|
 |
12
DesignerSkyline 2016-02-10 10:44:43 +08:00
能用 scrypt 为何不用 scrypt 呢?
|
 |
13
wizardforcel 2016-02-10 20:16:03 +08:00 via Android
加盐只是多花一些开销来计算罢了,毕竟盐不妨碍正常的登录逻辑。黑客还可以不拿到数据库,直接通过网页或移动入口来撞,俗称扫号。现有的验证码判定都是针对 id 而不是 ip 的,拿已有的库来撞,如果匹配的话一次尝试就完成了,如果不匹配就直接放弃。
还是在大型网站泄露之后发公告让用户改密码吧。剩下那些不改的都是不常用的,盗了也损失不了啥价值。 |
Select Language