网易5E账号泄露,那么嘉力创是否明文保存密码
有这个担心是因为当初注册力创商城的时候,竟然把密码发我邮箱了如果是明文保存,还请尽快改掉,必须要hash而且salt
看当初CSDN的笑话,现在可笑不起来 哈哈,估计。。。 据说现在20位以内的混合数字字母符号的密码,彩虹表爆破率超过95% 当时,商城的密码也是明文告诉我的。而且和pcb的一样的。 最近很多网站都被爆啊,下一个是谁啊? Earthman 发表于 2015-10-19 22:19
据说现在20位以内的混合数字字母符号的密码,彩虹表爆破率超过95%
20位大小写字母数字有62 ^ 20 = 7E35个组合,超过全球储存总和很多个数量级,根本不可能存在能爆破20位密码的彩虹表。 这次真是泄露了一个好字典……… gzhuli 发表于 2015-10-19 22:59
20位大小写字母数字有62 ^ 20 = 7E35个组合,超过全球储存总和很多个数量级,根本不可能存在能爆破20位密 ...
密码里面有很多重复的,常用密码加起来估计也没有多少吧。 gzhuli 发表于 2015-10-19 22:59
20位大小写字母数字有62 ^ 20 = 7E35个组合,超过全球储存总和很多个数量级,根本不可能存在能爆破20位密 ...
彩虹表是常用密码的hash存储表啦,某著名查询网站几年前用来存储的硬盘就装满一个房间,现在大了好多好多倍啦
可以肯定的是10位以内的几乎都能破 同是嘉立创PCB和立创商城的客户,围观一下看看密码安全问题有何好的对策! Earthman 发表于 2015-10-19 23:48
彩虹表是常用密码的hash存储表啦,某著名查询网站几年前用来存储的硬盘就装满一个房间,现在大了好多好多 ...
你那叫字典,只能对付已暴露的弱密码,复杂点就没辙。
彩虹表没那么简单,原理上相当于压缩了的暴力破解表,查找也需要算法配合(可理解为解压缩),不是随便下载个表就能直接查的,可破解的密码空间也比字典法大得多,但对付20位大小写数字混合密码也是力不从心。
我随便给一个8位大小写数字混合密码(而且还是有意义的单词组合,非随机)的MD5值,你可以试试那些著名查询网站能不能解得出来:b99a0ff3ca10c804ddb9876cf42d478c 安全问题很严峻,应该找一个安全的密码策略 我们的密码是加密的,从我们设计系统的第1天起就是这么玩的。
至于再怎么加强,我们的IT团队会进一步考虑 最基本的问题,密码一定不能用明文保存 不好爆破吧,记得曾经的数据结构老师讲过一点,数据的存储结构不相同的,爆破起来没那么容易,要爆破首先要知道数据的存储结构 问个比较傻的问题,
密码如果明文保存的话,在存储的时把每个字符都做 +1 处理再存, 是不是密码泄露时风险就降低了? 祥子 发表于 2015-10-20 11:05
问个比较傻的问题,
密码如果明文保存的话,在存储的时把每个字符都做 +1 处理再存, 是不是密码泄露时风 ...
是的,但是这个的反向算法也很简单,很容易还原。所以最好使用单向算法,没有反向算法的,只能通过暴力破解。 gzhuli 发表于 2015-10-20 00:32
你那叫字典,只能对付已暴露的弱密码,复杂点就没辙。
彩虹表没那么简单,原理上相当于压缩了的暴力破解 ...
这是一条付费记录,密文类型:md5
不过网上算了好久 armok 发表于 2015-10-20 13:38
我也相信你们的密码是加密的。
不过,如果我没有猜错的话,加密的方法是你们闭门造车搞出来的,甚至是可 ...
Hash + Salt就是业界最成熟的做法,虽然MD5已经略显过时,但实际上除非是国家级的超算或者利用类似BOINC等大规模分布式客户端来跑,普通黑客还是没能力对付的,SHA-1以上的hash算法就更安全了。 zhengxg1990 发表于 2015-10-20 13:29
这是一条付费记录,密文类型:md5
不过网上算了好久
呵呵,所以说表里没有,现算的呗,对于8位密码来讲暴力破解时间是差不多,再长的话计算时间就级数上升了。 pbkdf2,scrpyt,argon2 dz论坛一般MD5+SALT
页:
[1]