如何防范密码被破解

如何防范密码被破解

你会用什么样的算法来为你的用户保存密码?如果你还在用明码的话,那么一旦你的网站被hack了,那么你所有的用户口令都会被泄露了,这意味着,你的系统或是网站就此完蛋了。所以,我们需要通过一些不可逆的算法来保存用户的密码。比如:MD5, SHA1, SHA256, SHA512, SHA-3,等Hash算法。这些算法都是不可逆的。系统在验证用户的口令时,需要把Hash加密过后的口令与后面存放口令的数据库中的口令做比较,如果一致才算验证通过。

但你觉得这些算法好吗?我说的是:MD5, SHA1, SHA256, SHA512, SHA-3。如果你使用的是MD5算法来加密你的口令,如果你的口令长度只有小写字母再加上数字,假设口令的长度是6位,那么在目前一台比较新一点的PC机上,穷举所有的口令只需要40秒钟。而据我们了解,几乎有90%以上的用户只用小写字母和数字来组织其口令。对于6位长度的密码只需要最多40秒就可以破解了,这可能会吓到你。

如果你愿意花2000美金和一周的时间来构建一个CUDA,那么,你可以在你组建的这个集群中使用进行密码穷举运算,其速度是,1秒钟可以计算7亿个口令。对于目前实际当中使用的比较复杂的口令,其破解率也可以高达每秒一个。当然,这里说的算法是MD5,SHA之类的算法。

那么,对于这样的一种情况来说,我们怎么办?我们还是有办法的。

我们知道MD5,SHA的算法速度太快了。所以,我们需要一个“慢一点”的加密算法。呵呵。bcrypt是这样的一个算法,因为它很慢,对于计算机来说,其慢得有点BT了,但却慢得刚刚好!对于验证用户口令来说是不慢的,对于穷举用户口令来说,其会让那些计算机变得如同蜗牛一样。

因为bcrypt采用了一系列各种不同的Blowfish加密算法,并引入了一个work factor,这个工作因子可以让你决定这个算法的代价有多大。因为这些,这个算法不会因为计算机CPU处理速度变快了,而导致算法的时间会缩短了。因为,你可以增加work factor来把其性能降下来。呵呵。

那么,bcrypt到底有多慢?如果和MD5一起来比较的话,如果使用值为12的work factor的话,如果加密“cool”的话,bcrypt需要0.3秒,而MD5只需要一微秒(百万分之一秒)。也就是说,前面我们说的那个只需要40秒就可以穷举完所有的可能的MD5编码的口令的算法,在使用bcrypt下,需要12年。

这就是bcrypt给你带来的选择,你可以一个安全的口令和一个快速的加密算法,或是一个不怎么安全的口令和一个性能不好的加密算法

(转载本站文章请注明作者和出处 酷 壳 – CoolShell ,请勿用于任何商业用途)

好烂啊有点差凑合看看还不错很精彩 (24 人打了分,平均分: 3.67 )
Loading...

如何防范密码被破解》的相关评论

  1. 已经被hack,那只有挨宰了。人家把密码替换成一个已知的加密后的密文就是了,还费劲破解具体是啥去?

  2. 另外,想要慢算法?在md5算法里求个圆周率呗。

    个人感觉使用慢算法代替快算法是技术的倒退。

  3. 现在不是有防暴力破解的方法么?如果短时间内重复访问会被系统拒绝的。用差的算法确实是一种倒退。

  4. @方言

    起初没有md5密码库时,大多数人就是拿MD5密文直接替换到自己的Cookies~~~~

    没有绝对的防范- -~~~
    只有绝对的技术~~

  5. 方言 :
    已经被hack,那只有挨宰了。人家把密码替换成一个已知的加密后的密文就是了,还费劲破解具体是啥去?

    好的设计应该是这样的,在有密码的数据库表中,设计时会增加一个校验字段,这个字段的值是根据密码字段和其他关键字段,如用户名或ID,基于一个特定的校验算法(非标准MD5或其他的)算出来的,这样的话,如果你仅仅是去替换密码字段,那么校验肯定出错,系统就认为数据库记录被非法修改,就不会再让你登录了。

    技术+设计才是王道

  6. 按现在大部分系统的设计,密文和salt都是放在用户表里的,既然 hacker 能看到密文了,必然也能拿到 salt

  7. @ostric
    比如你的密码在传输过程中是经过加密的,但是被黑客截获,黑客想要通过对密文进行破解,来得到你的明文密码,这个时候他还是可以用暴力破解的。

    如果是 MD5算法,他很快就破解出来了啊;如果是慢算法的话……

  8. 如果这个破解表已经做好的情况下,破解其实就是查表过程,速度也会很快。
    这个我认为是不是应该加入salt机制,可以防查表破解。
    salt在现在的网站安全中有使用吗?

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注