V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
wujunze
V2EX  ›  信息安全

关于拖库和撞库的思考与对策

  •  
  •   wujunze · 2016-02-09 21:48:45 +08:00 · 3319 次点击
    这是一个创建于 3205 天前的主题,其中的信息可能已经有所发展或是发生改变。

    关于拖库和撞库的思考与对策 https://wujunze.com/tuoku_zhuangku.jsp
    V 友们 你们发表意见吧

    13 条回复    2016-02-10 20:16:03 +08:00
    ryd994
        1
    ryd994  
       2016-02-09 22:01:38 +08:00
    1. 同学你听说过彩虹表么?
    2. 根据统计结论,可以针对常用密码做字典,反正又不需要保证破解所有密码
    3. 有大量的弱智网站重用盐甚至使用单一的默认盐
    4. 有大量的弱智的网站(或者不弱智但因为其他原因)明文保存密码
    5. 无论如何,只要用户傻逼,就可以钓鱼
    wujunze
        2
    wujunze  
    OP
       2016-02-09 22:06:46 +08:00
    @ryd994 说的有道理 学习了
    shippo7
        3
    shippo7  
       2016-02-09 22:12:39 +08:00 via iPhone
    关于对策部分,现实中没办法要求所有网站都使用 MD5 加盐,就像不可能要求所有用户不使用弱密码一样,总有一部分人不去做必要的安全防护。

    真正有效的对策是实施密码分级设置。容易被脱裤并缺乏加密的通常是小型网站的服务,大型知名网站的安全防护普遍较好。利用这种情况,可以将账户分为如下类型:

    1:涉及资金帐户的网站(支付宝, Paypal , Apple ID)
    2:国外重要帐号( Google, Twitter, Facebook )
    3:国外非重要帐号 (其它论坛,小网站)
    4:国内重要帐号(邮箱账户, QQ )
    5:国内非重要帐号(其它论坛,小网站)

    将这五类帐号分别设置不同密码,即使易被脱裤的 3 , 5 类网站密码泄漏,也不会殃及其它类型账户。
    giuem
        4
    giuem  
       2016-02-09 22:13:32 +08:00 via Android
    cheese
        5
    cheese  
       2016-02-09 22:31:06 +08:00
    无关紧要的网站统一用小号邮箱加 123456 作为账号密码。常使用的,重要的,使用“一个主密码+2 位由网站或者应用的名称或作用变化后得到的字母+一位符号+2 数字”的模式记录,密码总长 11 位,主密码每隔一段时间更换。
    ryd994
        6
    ryd994  
       2016-02-09 22:36:28 +08:00
    @shippo7 其实 3/5 可以一样,反正都是用完扔的帐号
    yangqi
        7
    yangqi  
       2016-02-09 22:48:53 +08:00
    现在的计算速度根本不需要提前计算 md5 存下来,直接动态计算然后再撞就行了。所以你说的什么存储空间什么的不现实。
    airyland
        8
    airyland  
       2016-02-09 23:46:18 +08:00 via iPhone
    @giuem 这篇文章有点小问题 md5 次不算加密算法吧
    wujunze
        9
    wujunze  
    OP
       2016-02-10 10:14:31 +08:00 via Android
    @airylandMD5 的作用是对一段信息(message)生成信息摘要(message-digest),该摘要对该信息具有
    唯一性,可以作为数字签名。用于验证文件的有效性(是否有丢失或损坏的数据),对用户
    密码的加密,在哈希函数中计算散列值。
    wujunze
        10
    wujunze  
    OP
       2016-02-10 10:15:23 +08:00 via Android
    @airyland md5 算是一种非对称算法吧
    9hills
        11
    9hills  
       2016-02-10 10:18:41 +08:00 via iPhone
    我能说就不能放弃 MD5 么?到底大家是有多喜欢 MD5 啊


    @wujunze md5 就不应该和密码存储放到一起,设计就不是要干这个的
    DesignerSkyline
        12
    DesignerSkyline  
       2016-02-10 10:44:43 +08:00
    能用 scrypt 为何不用 scrypt 呢?
    wizardforcel
        13
    wizardforcel  
       2016-02-10 20:16:03 +08:00 via Android
    加盐只是多花一些开销来计算罢了,毕竟盐不妨碍正常的登录逻辑。黑客还可以不拿到数据库,直接通过网页或移动入口来撞,俗称扫号。现有的验证码判定都是针对 id 而不是 ip 的,拿已有的库来撞,如果匹配的话一次尝试就完成了,如果不匹配就直接放弃。

    还是在大型网站泄露之后发公告让用户改密码吧。剩下那些不改的都是不常用的,盗了也损失不了啥价值。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3995 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 05:16 · PVG 13:16 · LAX 21:16 · JFK 00:16
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.