欧美午夜精品久久久久久孕妇_日韩一区二区三免费高清在线观看_国产一区二区网址_大桥未久女教师av一区二区_av男人的天堂在线观看_亚洲国产欧美一区_亚洲风情在线资源站_精品视频在线视频_日本电影久久久_欧美顶级毛片在线播放_成人午夜三级_热舞福利精品大尺度视频_成人小视频免费在线观看_亚洲欧洲精品一区二区三区波多野1战4_欧美一区二区三区在线观看视频_日本高清中文字幕在线

密碼破解的技術原理,如何提升解密的成功率,如何成功解密找回密碼

2024-12-25 12:44:09

像黑客一樣思考,問問自己,根據密碼的結構,密碼可以多快被破解。

當黑客或滲透測試人員破壞系統并希望從數據庫轉儲中訪問明文密碼時,他們必須首先破解存儲的密碼哈希值。許多攻擊者一頭扎進了這個概念:他們嘗試了任何他們想嘗試的任意密碼攻擊,幾乎沒有理由。本討論將展示一些有效的密碼破解方法,以及如何將密碼的統計分析與工具結合使用,以創建一種有時間限制的方法來實現高效和成功的破解。

為什么這很重要?

密碼破解是一項垂死的事業。用戶需要創建更復雜的密碼,一些后端開發人員開始使用 Bcrypt 等機制來替換標準哈希函數。Bcrypt 哈希值需要更長的時間來生成,因此,密碼變得更加難以破解。破解者需要非??焖俚厣晒V挡拍苡行У仄平饷艽a,因此 Bcrypt 是對抗此類攻擊的非常強大的工具。為了說明這個例子,2012 年推出的由 25 個 GPU 集群制作的密碼破解程序能夠實現每秒 3500 億個哈希的 NTLM 哈希生成速度,而 Bcrypt 哈希生成速度為 71,000 個。以此作為比較模型,對于生成的每個 Bcrypt 哈希,可以生成 500 萬個 NTLM 哈希。當面對 Bcrpyted 算法時,黑客必須對密碼進行更多計算的猜測,并且不能依賴對每種可能性使用蠻力。

執行流程的順序

注意:如果攻擊者知道密碼的長度非常短,以至于暴力破解密鑰空間不會花費很長時間,則無需采取增量攻擊步驟。

時間線

時間效率成為成功破解密碼的關鍵因素。雖然覆蓋用戶密碼的整個關鍵空間會很好,但這樣做所需的時間通常不可行。因此,在破解時,重要的是首先嘗試最省時的攻擊,如果不成功,則繼續進行覆蓋更多密鑰空間的較慢的密碼攻擊。最快的方法是基于常用用戶密碼和以前的密碼轉儲的簡單字典攻擊。從那里開始,應該嘗試操縱字典以在末尾添加數字或符號或更改字母。這稱為混合攻擊或基于規則的攻擊。接下來,可以嘗試使用機器學習功能生成可能的密碼。馬爾可夫鏈就是一個很好的例子。通過組合英語中存在的常見元素來形成單詞(例如,“ing”、“er”、“qu”),可以生成對密碼的良好猜測,例如下面的密碼。盡管使用任何方法都很容易破解此特定密碼,但為了簡化所有攻擊媒介,我們將使用該密碼。Password1234Password1234

Pa + ss + word + 1234

最后,有針對性的暴力攻擊(稱為掩碼攻擊)基于密碼結構覆蓋給定密碼的所有密鑰空間。我所說的密碼的 “結構” 是指用于創建密碼的字符類型和順序。例如,具有大寫字母的“結構”,后跟 7 個小寫字母,后跟 4 位數字(記為 )。Password1234ullllllldddd

小寫字母 、 大寫字母 、 符號 、 數字(l)(u)(s)(d)

因此,如果攻擊者決定使用該結構創建字符組合的所有可能性,他或她最終會找到 密碼 .那么攻擊者的問題就變成了:在攻擊一組哈希值時,應該首先以什么結構為目標?Password1234

統計分析

為了幫助回答這個問題,我對流行的密碼轉儲進行了一些統計分析,以查看是否存在比其他密碼結構更普遍的密碼結構,以及這種結構在多大程度上是正確的。超過 3400 萬個公開暴露的密碼的樣本量包括 RockYou、LinkedIn、phpBB 等著名的密碼轉儲。


下圖顯示掩碼結構針對每個唯一掩碼的頻率。紅線表示 50% 線,該線出現在第 13 個最頻繁出現的掩碼之后。


從示例圖派生的密碼掩碼

這意味著前 13 個唯一掩碼結構占樣本密碼的 50%。樣本中超過 2000 萬個密碼的結構位于前 13 個掩碼中。就結構化密碼的普遍性而言,這些結果相當令人震驚。其他 50% 存在于長長的右尾內,在此圖中已被縮減。事實上,在 260,500 個唯一掩碼中,此圖中只顯示了 400 個。這種通用結構密碼的概念令人難以置信;但是,當您考慮用戶如何創建和記住他們的密碼時,這并不奇怪。根據分析數據,有一些邏輯因素有助于解釋這是如何可能的。當用戶被要求提供包含大寫字母的密碼時,超過 90% 的時間會將其作為第一個字符。當要求使用數字時,大多數用戶會在密碼末尾(可能是畢業年份)加上兩位數字。下一個最受歡迎的選擇是用四位數字結束密碼(可能是上一年或今年)。在這種情況下,下一個最流行的數字在末尾有一個數字,在結尾處有三個數字。諸如此類的結構共性使攻擊者能夠預測用戶密碼的結構最有可能是什么。

統計混合 – 加速

利用這些結構知識,可以安全地假設用戶很可能會將其密碼設置為 than(隨機字母),即使它們都以 9 個字母開頭并具有 9 個字母。因此,我們假設給定一個密碼結構,如果我們看到連續的字母,它很可能是一個單詞。這對 crackers 來說是一個非常有用的假設,因為它消除了大量的 key 空間。然后,這變成了一種利用通用密碼結構的統計顯著性的混合攻擊。potatoespwivwdhpp

效率和時間限制

通常,作為滲透測試人員,即使我們破壞了一組哈希值,我們也可能沒有時間破解所有哈希值。但是,破壞它們可能有助于升級對系統的訪問,并為客戶帶來更有用的發現。因此,在破解密碼時,確定將分配多少時間來破解一組哈希值可能很有用。使用在前面的分析中發現的結構,攻擊者可以根據按最快完成時間排序的密碼復雜性要求來確定他或她想要覆蓋前 10 種流行的結構。最后,攻擊者可以通過花費不超過一個小時來執行破解,從而對他或她的方法進行時間限制。這是在最近的一次獲取哈希的滲透測試中發現的。下面是基于 CPU 的 cracker 的結果快照。

受損結果表

在這種情況下,最快完成的結構是 ,我們將其定義為一個大寫字母,后跟三個小寫字母(“W”代表“word”),然后是四位數字。哈希集中有 69 個與該結構匹配的密碼,我的標準 CPU 能夠在一分鐘內遍歷該結構的所有可能性。我們在 62 分鐘時停止破解,破解產生了 221 個獨特的破解哈希值,匹配了 491 個賬戶,總共導致了 11% 的泄露。破解密碼和帳戶泄露數量差異較大的原因是 Office 設置往往會導致人們使用常用密碼。如果攻擊者確定環境中正在使用通用密碼,則具有相同密碼的所有用戶也將受到威脅。U(W3)dddd

盡管混合攻擊或基于規則的攻擊(例如)可以更快地破解其中的幾個密碼,但攻擊密碼的結構可以讓我們覆蓋更多的密鑰空間。如果 Faster 攻擊被證明無法成功破壞目標哈希,則此方法是有效的下一步。此外,重要的是要記住,此示例是在相當平庸的 CPU 上完成的,并且在強大的 GPU 上執行相同的攻擊可以將此時間縮短到幾秒鐘。因此,確切的時機不如有效執行理論重要。best64

針對

統計分析有助于我們普遍攻擊常見的密碼結構;但是,有一些工具可以幫助定位特定應用程序。CeWL 等工具可以從網頁中抓取單詞,并用于生成專門針對公司的單詞列表或詞典。之所以有效,是因為公司傾向于使用與其行業、公司或工作相關的密碼。此外,由于我們確定常用密碼在工作環境中很流行,因此也可以將已經被破解的密碼用作其他密碼的基礎,這可能是類似的。例如,如果我們發現 “” 是一個用戶的密碼,我們可能會將 “” 放入新的單詞列表中,將其放入規則集中,然后發現其他人擁有密碼 “”。這種使用破解的基本詞(如 '')并與周圍字符進行修飾的概念在破解從企業環境轉儲的哈希值時非常有效,這可以追溯到密碼重用的概念。根據我們進行的滲透測試,這最適合用于破解最后 20% 的未破解哈希值。AcmeCorp1234AcmeCorpAcmeCorp@2015AcmeCorp

修剪詞典以使猜測的所有密碼都符合應用程序規定的要求也很重要,這樣就不會浪費時間猜測由于長度或字符組成而無法猜測的密碼。

把它放在一起

從最快的攻擊開始,覆蓋最少的密鑰空間(標準字典攻擊)到最慢和最大的密鑰空間(純蠻力)是考慮分配給攻擊的時間的最理想進展。因此,攻擊者應該實施一種考慮到這一點的標準方法。如果攻擊者想要入侵的帳戶在第一階段完成,那么可能沒有理由繼續使用其他攻擊;但是,在許多情況下,如果存在目標帳戶,則簡單的字典攻擊可能不夠,或者攻擊者只是想破壞盡可能多的帳戶,因此可能需要使用統計結構的混合攻擊和有針對性的暴力攻擊。因此,建立方法對于成功破解至關重要,其中可以包括前面提到的方法以及一些自動化流程。最近的工具(如 PRINCE)可以幫助促進密碼破解。開發一條工具帶,例如 PRINCE 在方法中嘗試是很重要的,但了解工具背后的功能,而不是完全依賴它們,這將使破解更加有效。

防御 – 如何對抗統計數據

通過使用這些密碼進行分析,可以確定給定所需復雜程度的最流行的結構。因此,開發人員可能應該實現一些控件,以阻止用戶使用其中一些非常流行的結構,以使上一個圖形的曲線變平。然而,這個想法的問題在于,如果沒有簡單的結構,用戶可能會發現很難記住他們的密碼。我推薦使用需要雙重身份驗證的密碼管理器。這些應用程序將為您生成和存儲您的所有密碼,因此內存不是問題。他們生成的密碼在結構上是隨機的,只要應用程序允許,就可以一直使用。正如我之前提到的,加密密碼是另一種非常有效的方法,可以減緩攻擊者的發展前景。最后,在辦公室內實施策略,幫助用戶了解共享密碼或重復使用密碼的危險,是朝著正確方向邁出的成功一步,即使用戶并不總是遵守。雖然他們很可能不會一直遵守,但這是一種有效的控制措施。

結論和收獲

密碼破解可能是一個模糊的概念。隨著破解難度的增加,需要基于效率的針對性攻擊,并應建立個人破解方法。為了最終提高哈希生成速度而投入資金是不值得的。因此,使用統計數據和工具作為攻擊手段實施一種方法和簡化的流程可以促進密碼破解。開發人員可以制定控制措施來應對這種情況,用戶可以使用安全的密碼管理器來最大限度地降低這些攻擊的有效性;但是,此類實現還不是很流行。目前,針對密碼的統計攻擊在破解數量和時間連接效率方面都是有效的。想想你自己的密碼,問問自己,根據密碼的結構,以及你辦公室內的哪些控制措施可能導致攻擊者入侵用戶的賬戶,它們能以多快的速度被破解。

上一條:Hashcat號稱世界上最快的密碼破譯工具,如何使用hashcat解密密碼?
下一條:使用專業的解密軟件自己電腦破解Exlce、word、pdf、壓縮包格式密碼教程
欧美午夜精品久久久久久孕妇_日韩一区二区三免费高清在线观看_国产一区二区网址_大桥未久女教师av一区二区_av男人的天堂在线观看_亚洲国产欧美一区_亚洲风情在线资源站_精品视频在线视频_日本电影久久久_欧美顶级毛片在线播放_成人午夜三级_热舞福利精品大尺度视频_成人小视频免费在线观看_亚洲欧洲精品一区二区三区波多野1战4_欧美一区二区三区在线观看视频_日本高清中文字幕在线
国产呦萝稀缺另类资源| 国产91免费看片| 亚洲欧美日韩一区二区在线| 夜夜夜精品看看| 九九精品在线视频| 丝袜在线观看| 亚洲精品suv精品一区二区| 欧美一区三区三区高中清蜜桃| 亚洲片在线资源| 国产三级精品三级在线专区| 国产精品极品| 中文字幕亚洲在| 尤物在线视频| 欧美在线观看视频| 性欧美videoshd高清| 国产精品啊v在线| 亚洲欧洲日韩一区二区三区| 久久久91精品国产一区二区精品| 日韩人体视频一二区| 国产精品日韩久久久久| 国产东北露脸精品视频| 亚洲国产欧美在线人成| 成人区精品一区二区不卡| 欧美三级电影精品| 97在线精品视频| 日韩一区在线免费观看| 国产激情久久久| 欧美视频福利| 91老司机精品视频| 成人av动漫| av成人手机在线| 欧美日韩一级二级| 亚洲一区二区欧美日韩| 久久国内精品自在自线400部| 国产精品日日摸夜夜摸av| 亚洲成人1区2区| 久久99蜜桃综合影院免费观看| 97欧洲一区二区精品免费| 91精品国产色综合久久不卡粉嫩| 牛牛国产精品| 欧美日韩电影一区二区三区| 一区二区三区在线观看国产| 91蜜桃视频在线| 日韩精品免费综合视频在线播放| 不卡一区中文字幕| 亚洲国产高清国产精品| 日本欧美在线视频免费观看| 亚洲精品视频免费看| 日韩精选在线| 国产精品久久久久蜜臀| 国产成人精品亚洲777人妖| 日本国产欧美| 日本不卡在线观看| 欧美性video| 欧美日本亚洲韩国国产| 成人一区二区三区在线观看| 最新国产精品亚洲| 国产suv精品一区二区四区视频| 69p69国产精品| 伊人精品成人久久综合软件| 2021天堂中文幕一二区在线观| 日韩av中文字幕在线| 精品国产露脸精彩对白| 好看的亚洲午夜视频在线| 91精品国产电影| 久久综合久久综合亚洲| 国产亚洲第一伦理第一区| 国产精品r级在线| 99国产精品99久久久久久| 久久视频社区| 久久久精品tv| 成人听书哪个软件好| 好吊色欧美一区二区三区视频| 国产成人一二片| 精品久久一二三区| 久久精品动漫| 东京久久高清| 日韩视频在线一区二区| 亚洲福利视频三区| 手机亚洲手机国产手机日韩| 国产欧美最新羞羞视频在线观看| 国产成人福利夜色影视| jizz国产精品| 亚洲天堂中文字幕| 97人洗澡人人免费公开视频碰碰碰| 成人精品一区二区三区免费| 99久久精品费精品国产| 黑人一区二区三区四区五区| 一本大道久久a久久精品综合| 国产精品第二页| 91福利视频在线| 精品一区二区电影| 欧美在线电影| 97精品电影院| 欧美日韩国产高清电影| 毛片av一区二区三区| 麻豆最新免费在线视频| 国产亚洲精品综合一区91| 亚洲热av色在线播放| 欧美三级资源在线| 亚洲图片自拍偷拍| 欧美成人在线影院| free性欧美| 久久人人97超碰com| 四虎视频在线精品免费网址| 老司机2019福利精品视频导航| 黄色亚洲大片免费在线观看| 精品电影一区二区| 美女视频黄免费的亚洲男人天堂| 综合图区亚洲| 99久久精品国产亚洲精品| 亚洲最大黄网| 国产精品v欧美精品∨日韩| 欧美日韩亚洲国产精品| 欧美在线视频观看免费网站| 日本欧美久久久久免费播放网| 日韩电影中文字幕一区| 精品美女在线观看视频在线观看| 国产在线精品一区在线观看麻豆| 99精品视频网| 亚洲成人www| 国产伦精品一区二区三区视频黑人| 精品偷拍一区二区三区在线看| 日韩欧美一二三| 欧美在线va视频| 官网99热精品| 亚洲精品高清视频| 在线观看日韩av| 天然素人一区二区视频| 在线欧美日韩国产| 极品av少妇一区二区| 五月婷婷一区| 久久精品盗摄| 国产偷国产偷精品高清尤物| 色婷婷综合久久久久久| av日韩国产| 国产精品婷婷| 亚洲欧美另类人妖| 奇米精品一区二区三区四区| 91色视频在线导航| 国产精品亚洲综合| 亚洲国产中文字幕| 国语精品中文字幕| 在线观看日韩精品| 成人亚洲欧美一区二区三区| 蜜桃久久久久久久| heyzo高清国产精品| 久热综合在线亚洲精品| 91人人爽人人爽人人精88v| 久久亚洲国产精品一区二区| 欧美成在线观看| 老牛影视免费一区二区| 国产亚洲视频系列| 捆绑紧缚一区二区三区视频| 日本视频不卡| 视频一区视频二区欧美| 国产乱码精品一区二区亚洲| 精品一区二区日韩| 国产亚洲成精品久久| 国产欧美视频一区二区三区| 欧美二区观看| 国产精品一区二区你懂的| 午夜精品理论片| 国产亚洲精品精华液|