,全文共2512字。一个阳光明媚的下午,热心市民刘先生正在吃着火锅,唱着“叮~”,手机突然收到一条短信。还以为是系统短信,一开始没在意,但一连串的叮叮声根本停不下来。刘总拿起手机看了看,一脸茫然,立马上去了。一下子,我的苹果商店的内购里有20多条账单记录,都是购买大王农药的优惠券,加起来小三千。不,家里没有小鬼。慌忙问度娘:亲,你的AppleID绑定了支付宝免密支付,你的AppleID可能被盗了~致电苹果和支付宝客服,一场维权拉锯战正式打响.在移动互联网时代,人们用一串字符作为密码,将自己的信息、秘密、金钱托付给互联网。人们设置密码来保护网上的一切:从电子邮件到银行账户再到加密货币交易所。大多数人对密码的定位就是一串可以用来登录的字符,那么怎么记住呢?早些时候,12345678走遍了全世界。后来因为系统需求,灵机一动,设置一个名字拼音+生日。图片来源:unsplash.com/@cmdrshane也许大多数人都没有意识到心无旁骛设置密码的严重性,直到热心市民刘先生展示了自己的经历。目前,不法分子盗取苹果账户的主要途径是“凭据库”和钓鱼网站。出于对密码破解的纯粹兴趣或其他未知原因,出现了大量关于复杂密码破解算法的论文。这些算法使用极其复杂的概率和机器学习技术来破译90%以上的密码。虽然现在很多平台都采用了双因素认证系统(2FA),但该系统并未得到广泛推广或强制执行,绝大多数平台仍不支持2FA。即便是大多数“心胸宽大”的市民,也根本没有启用双重验证的意识。破解密码的算法威力巨大,仔细想想都让人毛骨悚然,但大众还是乐于置身事外,“这些算法有多少普通人会用?为什么黑客总是攻击我?”是时候揭示破解密码是多么容易了!背景知识:存储密码当使用密码登录应用程序时,所需的步骤顺序如下:用户输入密码(传输密码并验证)将输入的密码与记录的密码进行比较如果他们相同,用户可以继续访问应用程序,但密码传输和存储的安全性令人担忧。为了安全起见,许多系统将用户密码的哈希值而不是密码本身存储在数据库中。密码哈希本身是一个不可逆的哈希;如果黑客获得了密码哈希值,则密码无法逆转。在此类加密系统中,密码登录的步骤顺序如下:用户输入密码,在本地计算哈希值(密码)并传输,与记录的哈希值进行比较。如果两者相同,则用户可以继续访问该应用程序。对于使用哈希的加密系统,如果黑客侵入密码数据库,他们仍然无法获得用户的密码。由于黑客无法通过密码哈希来反转密码,因此他们会进行以下操作:随机猜测一个密码,计算密码,加密文件,并重复上述步骤,直到猜出密码。这听起来是一个巨大的工程,但如果使用机器,可以同时进行1000次猜测。在无数种可能性中随机找到真正的密码是一件轻而易举的事。破解密码的攻击软件一般使用Hashcat软件,这是一款号称“世界上最快的密码破解器”的高级密码恢复工具。Hashcat是一个开源工具。其官方网站提供了数据源和二进制文件供下载。维基百科也有这个工具的详细解释。只要坚持想当“黑客”的热情,很快就能学会Hashcat。硬件可以在NvidiaTeslaK80上运行Hashcat-一个具有4992个内核的GPU,可以在亚马逊云上以0.90美元/小时的诱人价格租用。与典型的笔记本电脑相比,K80的运行速度比典型的英特尔GPU快16倍。K80每秒可计算8亿个SHA-256加密文件,或每小时近3万亿个。难以置信。密码只是实验,当然不可能使用真实的账号密码。Web平台上有超过1400万个公开可用的密码集。再次虚拟破解有助于提高个人密码安全意识,防止真正的密码破解攻击。在测试之前,所有个人身份信息都已从泄露的文件中删除。攻击逻辑通过Hashcat可以暴力破解密码(即对特定长度的密码进行无限次尝试),还可以进行更复杂的攻击。众所周知,大多数人的密码都基于一个单词,形式多种多样:只是一个单词(可能大小写不同)-带有数字/符号后缀的密码单词-猴子!orCoffee12Word,number"Martian"withmixeduseofsymbols-p4ssw0rdoorf4c3b00k多个单词连接-isthissecure巧合的是,如果你上传单词列表文件,Hashcat内置的各种模式会猜测如下:WordsWordsplusAnynumber/符号后缀·具有特定模式的单词(例如将所有“o”替换为“0”)·任意组合的单词因此,可以下载包含数百万个英语单词的词典文件进行攻击。至此,攻击范围可以更广,Hashcat应该尝试的“面具”也可以选择。不再使用Hashcat尝试“所有长度为8的密码”以及7万亿种组合-有-只需尝试“6个小写字母加2个数字”密码。那么攻击的结果如何呢?说实话...攻击结果远远好于预期,取得了令人震惊的成功...2小时内:48%的密码被破解8小时内:近70%的密码被破解20分钟内小时:80%以上的密码被破解密码被破解总结:20小时。每小时0.9美元。总计18美元。1400万个密码中有80%被破解。对于这个结果,大家还要消化一段时间……这也太可怕了。每个人都必须提高密码的安全性。仅将“o”替换为“0”或将“e”替换为“3”是不够的。添加数字和符号后缀也不足以抵御攻击。这些模式是可以预测的。人们遵循某些可预测的规则,这些规则使密码易于破解。最科学的方法是将您的密码交给管理员,例如LastPass或1Password。不过,如果你的脑回路够好,也可以试试把密码改成pi(手动狗头)的后六位。这样,别说黑客了,全世界都不会有人知道你的密码。留言点赞,关注我们,分享AI学习开发的干货。欢迎关注全平台AI垂直品类。
