吓人!仅花20小时18美元,可瞬间破译1100万个密码
摘要:仅花20小时18美元,可瞬间破译1100万个密码\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E图片来源:unsplash.com\u002F@cmdrshane\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp class=\"ql-align-justify\"\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E可能大部分人都没有意识到设置密码不走心的严重性,直到热心市民刘先生现身说法。仅花20小时18美元,可瞬间破译1100万个密码\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp class=\"ql-align-justify\"\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E尽管如今许多平台使用双重验证系统(2FA),但该系统并未被大范围或强制推广,绝大部分平台仍不支持2FA。
"\u003Cdiv\u003E\u003Cblockquote\u003E全文共\u003Cstrong\u003E2512\u003C\u002Fstrong\u003E字,预计学习时长\u003Cstrong\u003E4\u003C\u002Fstrong\u003E分钟\u003C\u002Fblockquote\u003E\u003Cp class=\"ql-align-center\"\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002Fc270794db0cd4defbc2618308ee255d3\" img_width=\"692\" img_height=\"372\" alt=\"吓人!仅花20小时18美元,可瞬间破译1100万个密码\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp class=\"ql-align-center\"\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E事情是这样发生的。\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E在某个阳光明媚的下午,热心市民刘先生正吃着火锅唱着歌,“叮~”,手机突然收到一条短信。以为是系统短信的他,起期初毫不在意,谁知随后一连串的叮叮声根本停不下来。\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E刘先生拿起手机一看,一脸懵逼,当即上头。\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E自己的Apple store 内购突然多了20多条账单记录,都是购买王者农药的点券消费,加起来有个小三千。\u003C\u002Fp\u003E\u003Cp class=\"ql-align-center\"\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002F576a749ca15c4c84aef1f114b06c63a9\" img_width=\"236\" img_height=\"236\" alt=\"吓人!仅花20小时18美元,可瞬间破译1100万个密码\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp class=\"ql-align-justify\"\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E不对啊,家里也没熊孩子啊。\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E慌乱中问及度娘:亲亲,您的Apple ID绑定了支付宝的免密支付,AppleID可能被盗刷了哦~致电苹果和支付宝客服,一场维权拉锯战正式开始。\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E移动互联网时代,人们以一串字符为密码,将自己的信息、秘密、金钱都托管到了网络。\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E人们设置密码来保护网络中的一切:从电子邮箱到银行账户再到加密交易账户。大部分人对密码的定位只是一串可以login in的字符,所以怎么好记怎么来。早些时候12345678走天下,后来迫于系统要求,才灵机一动设了个姓名首拼+生日。\u003C\u002Fp\u003E\u003Cp class=\"ql-align-center\"\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp3.pstatp.com\u002Flarge\u002Fpgc-image\u002F3eb800c93d564e0f8bf11e6e44f1bd01\" img_width=\"640\" img_height=\"418\" alt=\"吓人!仅花20小时18美元,可瞬间破译1100万个密码\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E图片来源:unsplash.com\u002F@cmdrshane\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp class=\"ql-align-justify\"\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E可能大部分人都没有意识到设置密码不走心的严重性,直到热心市民刘先生现身说法。目前不法分子窃取苹果账号的主要方式还是“撞库”和钓鱼网站。\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E出于对密码破解的单纯兴趣或者其他不为人知的原因,有大量研究复杂密码破解算法的论文,这些算法利用极为复杂的概率和机器学习技术,能够破译90%以上的密码。\u003C\u002Fp\u003E\u003Cp class=\"ql-align-center\"\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp9.pstatp.com\u002Flarge\u002Fpgc-image\u002F8700ac0b52ca423eb1321826a38ab02d\" img_width=\"604\" img_height=\"694\" alt=\"吓人!仅花20小时18美元,可瞬间破译1100万个密码\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp class=\"ql-align-justify\"\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E尽管如今许多平台使用双重验证系统(2FA),但该系统并未被大范围或强制推广,绝大部分平台仍不支持2FA。甚至大部分“心大”市民,完全没有要启用双重验证的意识。\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E破解密码的算法强大到细思恐极,然而普罗大众还是乐呵呵置身事外,“有多少普通人能够使用这些算法呢?为什么黑客就一定会攻击我?”\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E是时候揭秘,破解一个密码有多简单了!\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E背景简介:存储密码\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E使用密码登录应用程序时,所需步骤顺序如下:\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E1. 用户输入密码(传送密码并进行验证)\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E2. 所输入的密码与记录密码进行比对\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E3. 如果二者相同,用户可继续访问应用\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E然而,密码传送和存储的安全性堪忧。为了保障安全,许多系统将用户密码的散列储存在数据库中,而不是密码本身。密码散列本身是不可逆杂乱密码;如果黑客获取了密码散列,无法反推密码。\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E在此类加密系统中,密码登录的步骤顺序如下:\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E1. 用户输入密码\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E2. 本地计算散列(密码)并进行传送\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E3. 对比记录的散列\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E4. 如果二者相同,用户可继续访问应用\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E背景简介II:暴力破解散列\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E对于使用散列的加密系统,如果黑客入侵密码数据库,他们仍无法获取用户密码。由于黑客无法通过密码散列反推密码,他们进行以下操作:\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E1. 任意猜一个密码\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E2. 计算该密码加密文件\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E3. 对比实际散列\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E4. 重复上述步骤,直到猜中密码\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E这听起来是一个浩大的工程,但如果使用机器,可同时作出1000个猜测。在无数的可能性中随机找到真正的密码就不费吹灰之力了。\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E攻击\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E\u003Cstrong\u003E软件\u003C\u002Fstrong\u003E\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E破解密码一般会用Hashcat软件,这是一个先进的密码还原工具,被称为“世界上最快速的密码破解器”。\u003C\u002Fp\u003E\u003Cp class=\"ql-align-center\"\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002Fbc95a89bfe574356a7c99ec7ceb3ce11\" img_width=\"1080\" img_height=\"617\" alt=\"吓人!仅花20小时18美元,可瞬间破译1100万个密码\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp class=\"ql-align-center\"\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003EHashcat是一个开源工具,其官网提供可供下载的数据源和二进制文件,维基百科上也有对此工具的详细讲解。只要坚守想当“黑客”的一腔热情,很快可以学会Hashcat。\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E\u003Cstrong\u003E硬件\u003C\u002Fstrong\u003E\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E可以用Nvidia Tesla K80运行Hashcat——这是一个拥有4992个内核的GPU,在亚马逊云上可以租用,价格喜人,只需0.9美元\u002F时。\u003C\u002Fp\u003E\u003Cp class=\"ql-align-center\"\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002F5f6af819f28b4e1e8f11addd48530344\" img_width=\"692\" img_height=\"463\" alt=\"吓人!仅花20小时18美元,可瞬间破译1100万个密码\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp class=\"ql-align-center\"\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E与普通的手提电脑相比,K80的运行速度比普通因特尔图形处理器快16倍。K80每秒可计算8亿个SHA-256加密文件,也就是几乎每小时3万亿个。\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003EUnbelievable。\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E\u003Cstrong\u003E密码\u003C\u002Fstrong\u003E\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E这只是一个实验,当然不可能用真正的账号密码啦。网络平台上有超过1400万个公开的密码集。对其再次进行虚拟破解有助于提高个人密码安全意识,防范真实密码破译攻击。在开始实验前,已经抹掉了这份已泄漏文件中所有的个人身份信息。\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E攻击逻辑\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E通过Hashcat可以暴力破解密码(即对特定长度的密码进行无限尝试),也可以进行更为复杂的攻击。众所周知,大多数人会基于一个单词来设置密码,形式各有不同:\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E· 仅仅是一个单词(可能字母大小写不同)——Password\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E· 单词加数字\u002F符号后缀——monkey! 或 Coffee12\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E· 单词、数字、符号混合使用的“火星文”—— p4ssw0rd o或f4c3b00k\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E· 多个单词连接——isthissecure\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E \u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E巧的是如果上传一份单词列表文件,Hashcat内置的多种模式会进行如下猜测:\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E· 单词\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E· 单词加任何数字\u002F符号后缀\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E· 有特定规律的单词(如把所有“o”替换成“0”)\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E· 任何单词组合\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E因此,可以下载了一份包含几百万英语单词词典文件以进行攻击。\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E \u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E此时,攻击范围就可以更为广泛,同时也能选定Hashcat应该尝试的“面具”。无需再使用Hashcat尝试有7万亿个组合的“所有长度为8的密码”——有——只需尝试“6个小写字母加2个数字”的密码。\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E \u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E那么攻击结果如何呢?\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E实话说…攻击结果远比想象中好,简直成功得骇人……\u003C\u002Fp\u003E\u003Cp class=\"ql-align-center\"\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002F3bdc70b3dbe04df492d39b829c34947b\" img_width=\"495\" img_height=\"337\" alt=\"吓人!仅花20小时18美元,可瞬间破译1100万个密码\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp class=\"ql-align-justify\"\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E· 2小时内:48%的密码被破解\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E· 8小时内:几乎70%的密码被破解\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E· 20小时内:超过80%的密码被破解\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E总结一下:20个小时。每小时0.9美元。总计18美元。1400万个密码中80%被破解。\u003C\u002Fp\u003E\u003Cp class=\"ql-align-center\"\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002F45f24a6a8f8947b6a7777a5a66cef61f\" img_width=\"346\" img_height=\"331\" alt=\"吓人!仅花20小时18美元,可瞬间破译1100万个密码\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp class=\"ql-align-center\"\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E对于这个结果,各位再消化一会儿…\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E \u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E这太吓人了。大家一定要提高自己密码的安全性。仅仅把“o”替换成“0”或把“e”替换成“3”还不够。加上数字和符号后缀也不足以抵抗攻击。这些模式都是可以被预测的。\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E人们正是遵循了某些可预测的规则才导致密码轻易破解。最科学的办法是把密码交给管理器,比如LastPass 或 1Password等。\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp class=\"ql-align-justify\"\u003E不过如果你的脑回路足够优秀,也可以尝试把密码改成圆周率后六位嘻嘻嘻(手动狗头)。这样别说是黑客,全世界都没有人知道你的密码啦。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp3.pstatp.com\u002Flarge\u002Fpgc-image\u002F1081eb46bbc9405fae487d496f773152\" img_width=\"720\" img_height=\"80\" alt=\"吓人!仅花20小时18美元,可瞬间破译1100万个密码\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E留言 点赞 关注\u003C\u002Fp\u003E\u003Cp\u003E我们一起分享AI学习与发展的干货\u003C\u002Fp\u003E\u003Cp\u003E欢迎关注全平台AI垂类自媒体 “读芯术”\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E"'.slice(6, -6), groupId: '6719679690832871944
