暴力密码破解器 ocl-Hashcat-plus 支持每秒猜测最多 80 亿个密码,意味着什么?

是否低于 55 位的密码不再安全。哪些安全系统会遭受风险,如何应对防范? instapaper.com/text?
关注者
846
被浏览
105,852
不要慌张,没有那篇文章说的那么可怕。如同@苏莉安 所说,这个是针对Hash过后的口令进行暴力搜索、字典搜索等方法进行攻击的,对于网站或者其他系统而言,存储后的口令只要不泄露就不会遭遇这个工具的攻击。也就是说,网站被脱裤了才会让你的口令泄露。

另外还想说一下,某些没有节操的媒体从业人员就喜欢断章取义、夸大事实,按照现在的惯例,造谣是要关小黑屋的哦!!!

这个工具的下载地址文章已经给出了,请猛击这里然后一拉到底,看看传说中的Performance(性能)小节,这节中的表格展示了这款工具对于不同密码算法破解的性能,其中对于NTLM(Windows NT LAN Manager)算法的效率最高,约8Gc/s,也就是文中所称的80亿次每秒,最高达10Gc/s,也就是100亿次每秒。

但是这个NTLM是Windows在局域网中的一种身份认证协议使用的,我们通常在网站中不会使用这样的算法,常用的几种算法的破解速度中,MD5最高70亿次每秒,SHA-1最高20亿次每秒,SHA-2 512最高2亿次每秒,Apache中用来记录口令的md5crypt算法因为使用了MD5迭代了1000次,所以速率低于MD5速率的千分之一,仅有400万次每秒,而为了保存口令而生的bcrypt算法,更是惨绝人寰的只有不到4000次每秒。见下表:

上图说明了,8位的弱口令还能搞搞,13位的就难了啊。对于字典攻击,我们认为能够比纯爆破提升速度一百万倍,那么对于13位小写字母加数字的口令,破解时间还是比较可观的,但是如果是13位大小写加数字,那么就不太理想了,对于MD5这样容易破解的算法也需要9个月。如果是用大小写字母、数字和字母,那么基本可以认为不可能在有限时间内爆出来。

所以结合上述数据,我们有这样的结论。该工具对于口令破解仅限于取得系统保存的口令Hash的情况下才可以使用,不能任意攻击现有系统。对于采取较强安全策略的情况,包括口令处理算法和口令构建方法,基本无法在短期内破解,至少是年数量级,所以对于非军事、政府、机要、商业等重要用途的情况下,不太可能会使用该工具动用昂贵的设备、消耗大量的时间进行攻击。

构建安全级别较高的口令,作为用户我们应当:
  1. 长度在8位以上,最好在13位以上;
  2. 数字、大小写字母、特殊符号等字符种类应当尽可能的使用多种;
  3. 避免使用字典中有的单词(包括汉语拼音),或者使用数字和特殊符号穿插在单词中。

作为网站的设计和开发人员,我们应当:
  1. 使用安全等级较高的Hash算法处理口令;
  2. 避免使用Hash算法直接处理口令,即保存Hash(pwd),应当加入salt;
  3. 使用Hash算法对结果进行多次迭代。

值得说的是,知乎保存口令所使用的算法(见《知乎是如何保存用户密码的?》)是使用Bcrypt的,也就是即使在前两天刺总@大风 发起的“大家一起黑知乎玩”的活动中,知乎被脱裤了,大家的口令也都基本上很安全,不太可能被爆出来。 不过有爆料知乎可能保存明文口令,看在登录时候明文传输不加密的份上,大家自求多福吧。

最后,@苏莉安 的回答最后提到了,可以破解邻居的Wi-Fi密码玩,可是8位就要破500年啊!!!我还是等齐天大圣出来吧!!!!