首页
课程
问答
CTF
社区
招聘
峰会
发现
排行榜
知识库
工具下载
看雪20年
看雪商城
证书查询
登录
注册
首页
社区
课程
招聘
发现
问答
CTF
排行榜
知识库
工具下载
峰会
看雪商城
证书查询
社区
密码应用
发新帖
1
0
[原创]菜农认为网站数据库应该存储的注册信息
发表于: 2011-12-26 18:36
4330
[原创]菜农认为网站数据库应该存储的注册信息
HotPower
2011-12-26 18:36
4330
正在研究HotWC3的碰撞问题,因为任何哈希函数存在着碰撞问题,例如王晓云教授研究MD5碰撞的成果。
但是论坛或邮箱都可以用验证码来阻止穷举散列数的频率,输入密码错误次数锁定并发送绑定邮箱或绑定手机通知用户。
这些都可以防范。
但是存储散列值应该说比存储密文密码要安全的多,但单向散列函数故有的碰撞特性任何人都无法回避。
为了在输入流中隐含更多的各方信息,例如散列数中同时隐含了用户和网站各自的信息例如:
用户持有:用户名和用户密码
网站持有:用户名和网站特定码和散列值。
其中:散列值=哈希函数(用户名,用户密码,网站特定码)
这样做后,用户或网站都必须同时知道对方的信息而且要知道算法。
这样将降低碰撞的概率,逼迫其在知道用户名和网站特定码及算法的前提下攻击用户密码。
由于论坛或邮箱登陆输入信息是以流的方式出现,故可以再附加用户密码的长度信息。
由于散列函数碰撞可以用短密码长度得到同样的散列值,故测试用户密码注册长度也是
一种安全机制。但同时又告诉了黑客重要的信息。
用户持有:用户名和用户密码
网站持有:用户名及用户密码注册长度和网站特定码和散列值。
其中:散列值=哈希函数(用户名,用户密码,用户密码注册长度,网站特定码)
为了解决密码找回问题,故网站数据库应该存储下列信息(字段):
1.用户名
2.用户密码注册长度
3.网站特定码
4.散列值
5.绑定邮箱
6.绑定手机
7.密码找回提问(是个漏洞,可以考虑废除)
[EMAIL="HotPower@126.com"]
HotPower@126.com
[/EMAIL] 2011.12.26
HotWC3密码体系验证三个链接地址:
http://www.hotpage.net.cn/HotPower_HotAjax.html
http://www.hotpower.net/HotPower_HotAjax.html
http://www.hotpower.org/HotPower_HotAjax.html
即日起开通:
HotWC3密码交流群:203534415
新浪HotWC3密码交流微群:542867
群课记录(内含水妹妹学习密码为写情书):
CSDN密码被盗?看菜农讲解Hotpower之论坛加密
雁塔菜农HotWC3注册门以及UID应用
幼儿园玩具-第一篇
幼儿园玩具-第二篇
回应菜农在看雪论坛被“拷打的难题”
HotWC3网上单向散列函数验证:
http://www.hotpage.net.cn/HotPower_HotAjax.html
用户
hotpower
手持:
用户名:
hotpower
,用户密码:250
网站
www.21ic.com
掌握:
网站特定码:
www.21ic.com
用户名:
hotpower
用户密码注册长度:3
散列数:8917DEF303D5B0E3 【上图中点击运算后的“结果”】
再举例:
用户
程序匠人
手持:
用户名:
程序匠人
,用户密码:250*250
网站
www.21ic.com
掌握:
网站特定码:
www.21ic.com
用户名:
程序匠人
用户密码注册长度:7
散列数:12EE81D2FECE8CED 【上图中点击运算后的“结果”】
再举例:
用户
[I]
水清音
[/I]
手持:
用户名:
[I]
水清音
[/I]
,用户密码:GGMM
网站
www.21ic.com
掌握:
网站特定码:
www.21ic.com
用户名:
[I]
水清音
[/I]
用户密码注册长度:4
散列数:4BEAEE34E6B8789B 【上图中点击运算后的“结果”】
用户密码注册长度相当重要,虽然间接地告诉了黑客用户密码的长度,但是同时增大了碰撞的难度。
这样迫使黑客只能用同样长度的字符或数字来制造碰撞即伪造。
总之出了用户本人外,任何人包括网管及黑客等都休想知道用户持有的密码。
除非他穷举碰撞,而且必须知道密码串的长度,故密码串长度也应该用密文存储。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
收藏
・
1
免费
・
0
支持
分享
分享到微信
分享到QQ
分享到微博
赞赏记录
参与人
雪币
留言
时间
查看更多
赞赏
×
1 雪花
5 雪花
10 雪花
20 雪花
50 雪花
80 雪花
100 雪花
150 雪花
200 雪花
支付方式:
微信支付
赞赏留言:
快捷留言
感谢分享~
精品文章~
原创内容~
精彩转帖~
助人为乐~
感谢分享~
最新回复
(
3
)
没有姓名
雪 币:
67
活跃值:
(30)
能力值:
( LV2,RANK:10 )
在线值:
发帖
8
回帖
227
粉丝
0
关注
私信
没有姓名
2
楼
108(键盘上可能的输入字符)^32(密码最大长度)(约为2^216)
2^256(哈希值长度)
比较上面两个值,密码长度不是很必要保存。限制用户输入的密码长度不能超过32位就可以了。
2011-12-27 19:50
0
HotPower
雪 币:
129
活跃值:
(1095)
能力值:
( LV2,RANK:10 )
在线值:
发帖
89
回帖
472
粉丝
8
关注
私信
HotPower
3
楼
是的,给出密码长度将会缩小攻击的范围。但是对于密码长度大的将会逼迫攻击者加大攻击时间。
2011-12-27 20:59
0
xiaoyanilw
雪 币:
12
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
2
回帖
86
粉丝
1
关注
私信
xiaoyanilw
4
楼
各种没看懂,依然顶一个
2011-12-28 09:45
0
游客
登录
|
注册
方可回帖
回帖
表情
雪币赚取及消费
高级回复
返回
HotPower
89
发帖
472
回帖
10
RANK
关注
私信
他的文章
[原创]COM盾中的反篡改(无碰撞)机制
4213
[原创]COM盾和COM狗是否可以比肩加壳和虚拟机???
9277
[推荐]这种把jnz改为jmp的“破解”只能对没有防备意识的编程者
6136
[原创]菜农学习PE文件结构毕业小结
4409
[求助]PEid可以识别x64吗???
5065
关于我们
联系我们
企业服务
看雪公众号
专注于PC、移动、智能设备安全研究及逆向工程的开发者社区
看原图
赞赏
×
雪币:
+
留言:
快捷留言
为你点赞!
返回
顶部