首页
社区
课程
招聘
[讨论]密码陷阱
发表于: 2013-8-21 10:51 12765

[讨论]密码陷阱

2013-8-21 10:51
12765
  密码陷阱——加密软件制定的一些密码使用规则,程序若发现密码不符合这些规则,或降低运行速度,或进入死循环或退出程序。密码陷阱是专门对付穷举类攻击的。
  密码陷阱工作原理:当用户密码符合一定条件时,密码陷阱开始起作用,可以减速运行、退出程序,进入死循环等阻碍程序正常运行。加密程序做加密操作时检测你输入的密码,使用户密码如果触及陷阱及时警告修正。
  密码陷阱条件可以多种多样,例如特定位置出现特定字符、不同位置字符的差值、某两位置字符的和、特殊规则等等。最好能在加密程序中有设置密码陷阱的选项,有多种模式供用户勾选。这样你就可以根据加密等级的要求选用合适的陷阱密度,达到克制穷举攻击的目的。当然这些操作更适合于高保密级别加密的专业人员使用。对普通加密来说就过于麻烦,应自动设置为好。
  密码输入方式也可以做成密码陷阱,例如密码输入框不止一个,用户输入密码时,输入完2个字节,自动跳到下一个框里继续输入,如此等等。窃密者不制作专门的程序几乎很难进行穷举攻击了。
  或者密码输入分两段进行,输入第一段后程序进行运算,然后发出信号才能输入第二部分密码。

密码陷阱设计举例:
  1)前两个字符是汉字;
  2)第二个字符和第四个字符相差10;
  3)最后一个字符必须是K;
  4)字符个数必须大于6

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (15)
雪    币: 11
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
-1
这个p用都没有……人家分析一下你的程序,你的这些小手脚别人就看出来了……
还是老老实实去研究写靠谱的算法为好
2013-8-21 11:56
0
雪    币: 81
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
怎么没有用
既然对方已经使用穷举这种手段了,基本上可以假设对方无法调试,分析你的程序,例如密码门~ 密码箱~
密码陷阱会有一定作用~
2013-8-21 12:07
0
雪    币: 62
活跃值: (27)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
4
使用密码设备时,通常几次密码输入出错,设备就被锁定,无法操作了。
2013-8-21 12:31
0
雪    币: 2775
活跃值: (1112)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
5
应该真没什么必要,如果程序不能被调试的话,如楼上所言加个错误次数限制就行了。。。
2013-8-21 13:20
0
雪    币: 10014
活跃值: (2012)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
6
  真正能将程序分析透的能有几人,往往只是个大致,而许多东西是细节决定成败。陷阱这种东西是很容易实现的,可是对付它却要下大功夫,能达到加密的微动,解密的大动也不错啊。
2013-8-21 14:28
0
雪    币: 11
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
***……人家要是连纯算法程序都无法分析还混个屁啊……

你是不是不关注其他的板块啊?

而且你知不知到有种东西叫ida
他有种插件专门用来讲汇编反向成c……
2013-8-21 15:22
0
雪    币: 11
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
你凭什么假设
密码学最怕假设了
你要假设的话……
那你干嘛不用xor算法
全部xor一个A9?
反正别人也不知道

一看他这东西就不是芯片级能用的……就算可以……那也是可以扣出来的
2013-8-21 15:23
0
雪    币: 58
活跃值: (28)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
是的,我看了LZ发的一系列帖子好像都有一个基本前提是对手不会了解到加密内部的实现细节,可是这个假设是与现代密码学基本原则“只能假定不知道密钥而可能掌握其他一切”相违背的。
2013-8-21 20:23
0
雪    币: 10014
活跃值: (2012)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
10
rqqeq:说话请文明点。
  许多东西就是看懂了仍然是个大障碍,信息加密是为了信息安全,给破解者制造麻烦也是反制措施之一,不能因为对方能看懂就什么也不敢做了。:)
2013-8-22 08:50
0
雪    币: 81
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
呵呵 一般在技术论坛中装13的人 现实中技术一般不说~ 混的也不行~
咬文嚼字~~
2013-8-26 14:56
0
雪    币: 340
活跃值: (922)
能力值: ( LV9,RANK:220 )
在线值:
发帖
回帖
粉丝
12
LZ还没理解什么是真正的安全,幻想把安全寄希望于黑箱。

先去学学扎实基础知识吧,不要再贻笑大方了。
2013-8-27 14:31
0
雪    币: 10014
活跃值: (2012)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
13
  信息安全是综合效果,本文的议论并不认为由此一项措施就安全无忧了,而是为达到安全目的的小小尝试而已,你认为没用不用就是了,这有什么贻笑大方的?
2013-8-27 15:15
0
雪    币: 340
活跃值: (922)
能力值: ( LV9,RANK:220 )
在线值:
发帖
回帖
粉丝
14
那这个所谓的"密码陷阱"的用途何在呢?

本地软件注册?Cracker可以直接反汇编你的代码,根本没效果。有时反而适得其反,让人更快的找到验证的区域。
远程认证?“降低运行速度,或进入死循环或退出程序”——这是在搞笑吗?
2013-8-28 13:17
0
雪    币: 10014
活跃值: (2012)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
15
  就是直接给你源码,障碍依旧是障碍,密码陷阱是为了给穷举攻击等制造障碍,你以为知道源码障碍就那么好克服吗?也不是指望有此设置就万事大吉的,能达到制造障碍就可以了。
2013-8-28 13:36
0
雪    币: 340
活跃值: (922)
能力值: ( LV9,RANK:220 )
在线值:
发帖
回帖
粉丝
16
穷举攻击是在面对黑箱时才使用的。
本地软件注册,根本不存在黑箱;网络验证,你是要把自己的主机搞死机?

所以还是请你回答,这个所谓的"密码陷阱"的实际用途到底何在呢?
2013-8-28 14:08
0
游客
登录 | 注册 方可回帖
返回
//