Von_Hombolt | 36 points | May 09 2022 15:26:40

黑客暴力破解不同密码所花费的时间

https://i.redd.it/u6628p2qxgy81.jpg

[-] FurudeSatoko | 17 points | May 09 2022 15:34:23

适用于压缩包或者其他可以随便尝试的密码。暴力穷举网站密码基本试几次就会被限制。

[-] Von_Hombolt | 2 points | May 09 2022 15:36:26

移动硬盘可以随便试吗

[-] FurudeSatoko | 5 points | May 09 2022 15:40:38

技术上肯定可以。但我没试过,不知道有没有现成工具提取哈希。

[-] WinneThePoop19530615 | 15 points | May 09 2022 15:35:50

很奇怪的表。这里的“破解”指什么?

暴力穷举吗?那没有哪个服务器能支持你以无限制的速度尝试穷举,而且达到一定次数都会限制;

暴力逆向站方被脱的单向加密库吗?emmm和这个表上的数据显然不是一个量级。

[-] WinneThePoop19530615 | 10 points | May 09 2022 15:38:55

这张表里最简单的四位数字手机PIN码,谁来“instantly”暴力破解一下试试?整整10^4种可能性,但10次手机就锁住了

[-] FurudeSatoko | 8 points | May 09 2022 15:43:57

我猜是hashcat/johntheripper本地穷举密码碰哈希那种,适用于加密压缩包、拖库来的加盐哈希之类的。

[-] minty_he | 3 points | May 09 2022 18:13:37

最后一条如果没 salt 的话 简单跑个彩虹表很快的其实

[-] WinneThePoop19530615 | 1 points | May 10 2022 05:10:37

没salt那的确快

[-] NyarPhysics | 14 points | May 09 2022 15:32:30

我以前喜欢用随机字符串密码,写下来夹在书里

[-] Von_Hombolt | 19 points | May 09 2022 15:35:02

Chrome浏览器自动生成的随机密码非常强悍

[-] AX-Procyon | 21 points | May 09 2022 17:54:10

我个人认为这个功能其实并不太好。随机生成的密码固然强度很高,但是实质上反而大大提高了单点失效的严重性。这个密码的强度需要你谷歌账号的安全性来保证,如果你的谷歌账户被攻破里面存的所有密码不论强弱都直接失效。

[-] minty_he | 13 points | May 09 2022 18:30:00

那可以考虑基于 HMAC 的密码管理方案...自己记住一个 secret 然后和网站名字一起算出来的 hash 就是那个网站的密码,这样密码不会存储在任何地方,也不存在跨设备同步的问题。有一个现成的实现叫花密,简单看过一下代码没问题,实在不放心的话自己实现一个也不难

唯一的理论上存在的风险就是,如果用生成的密码注册了某个恶意的网站,并且对方知道你在用这个方案的话是有可能把 secret 猜出来的(穷举消息空间),此时网站名字就相当于 salt

[-] Ok_Card_8783 | 7 points | May 09 2022 19:27:40

我的谷歌账户开了two factor验证,必须插入我的yubikey才能登陆,杜绝了远程被黑的可能。

这年头账户太多,不用这个也得有个别的来管理密码。我有lastpass,还用keepassxc管理游戏账户密码,都需要yubikey才能打开数据库。两个yubikey一个栓钥匙上,一个藏在衣柜里,感觉很安全。

[-] asda-starke | 10 points | May 10 2022 00:38:19

现在没人暴力破解了,都是信息泄漏

[-] Multiverse-22 | 2 points | May 10 2022 08:03:33

以前冲浪TV被开盒的那些人自以为设置复杂密码和开小号就安全了 结果盒武一来全给拉清单出来

[-] daddysgirl2112 | 9 points | May 09 2022 17:12:16

所以,沒有密碼才是最好的密碼。

[-] Weierxunaidehua | 8 points | May 09 2022 19:23:30

什么空城计

[-] InabaMeguru | 9 points | May 10 2022 01:34:19

这种数据都是活在梦里,实际上都是拖库+彩虹表硬撞。根本没人一个一个死命破解。

搞社会工程学的成本也比硬破容易多了

[-] Multiverse-22 | 2 points | May 10 2022 08:04:32

“验证码发一下”

[-] XiYiZun1953 | 3 points | May 10 2022 11:43:52

【习近平挂歪脖树网】验证码为:198964 您正在注册习近平挂歪脖树网,请不要泄露给他人,验证码64分钟内有效。

[-] AssociationPrudent24 | 8 points | May 09 2022 22:39:47

黑客們:”我的密碼有多位數字英文大小寫和特殊字符,共匪的破電腦要花兩億年才能破解!”

共匪:”老子打不死你看你說不說密碼!”

/s

Pro tip: 只針對我匪的話, 反賊們自己也記不住的密碼是最好的密碼, 但須依賴物理 key, 需要在被逮住之前銷毀掉.

更好的選擇是除了上面的,外加電腦多啟動但默認啟動是個傻白甜的 windows, 表面上看起來很正常沒有任何奇怪的東西, 例行檢查偽裝過去, 以應付不是專門針對您的檢查.

如果您是編程隨想這種高價值目標,自己已經知道該怎麼做了。

[-] FindDurham | 7 points | May 09 2022 16:29:59

Hive System,矿老嗨么?

[-] Ok_Card_8783 | 3 points | May 09 2022 19:28:27

我的工作电脑密码全小写,但是有30多位,每次输入都想死。问就是公司建议。