[讨论]密码陷阱-密码应用-看雪-安全社区|安全招聘|kanxue.com

[讨论]密码陷阱

2013-8-21 10:51 12508

[讨论]密码陷阱

sjdkx

2013-8-21 10:51

12508

　　密码陷阱——加密软件制定的一些密码使用规则，程序若发现密码不符合这些规则，或降低运行速度，或进入死循环或退出程序。密码陷阱是专门对付穷举类攻击的。
　　密码陷阱工作原理：当用户密码符合一定条件时，密码陷阱开始起作用，可以减速运行、退出程序，进入死循环等阻碍程序正常运行。加密程序做加密操作时检测你输入的密码，使用户密码如果触及陷阱及时警告修正。
　　密码陷阱条件可以多种多样，例如特定位置出现特定字符、不同位置字符的差值、某两位置字符的和、特殊规则等等。最好能在加密程序中有设置密码陷阱的选项，有多种模式供用户勾选。这样你就可以根据加密等级的要求选用合适的陷阱密度，达到克制穷举攻击的目的。当然这些操作更适合于高保密级别加密的专业人员使用。对普通加密来说就过于麻烦，应自动设置为好。
　　密码输入方式也可以做成密码陷阱，例如密码输入框不止一个，用户输入密码时，输入完2个字节，自动跳到下一个框里继续输入，如此等等。窃密者不制作专门的程序几乎很难进行穷举攻击了。
　　或者密码输入分两段进行，输入第一段后程序进行运算，然后发出信号才能输入第二部分密码。

密码陷阱设计举例：
　　1）前两个字符是汉字；
　　2）第二个字符和第四个字符相差10；
　　3）最后一个字符必须是K；
　　4）字符个数必须大于6

[培训]科锐软件逆向50期预科班报名即将截止，速来！！！ 50期正式班报名火爆招生中！！！

收藏・1

免费・0

打赏

最新回复 (15)
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 2013-8-21 11:56 2 楼 0 -1 这个p用都没有……人家分析一下你的程序，你的这些小手脚别人就看出来了…… 还是老老实实去研究写靠谱的算法为好
狼行绝路雪币： 81 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 97 粉丝 0 关注私信	狼行绝路 2013-8-21 12:07 3 楼 0 怎么没有用既然对方已经使用穷举这种手段了，基本上可以假设对方无法调试，分析你的程序，例如密码门~ 密码箱~ 密码陷阱会有一定作用~
publickey 雪币： 62 活跃值： (27) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 101 粉丝 0 关注私信	publickey 2013-8-21 12:31 4 楼 0 使用密码设备时，通常几次密码输入出错，设备就被锁定，无法操作了。
xhbuming 雪币： 2769 活跃值： (781) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 107 粉丝 3 关注私信	xhbuming 2013-8-21 13:20 5 楼 0 应该真没什么必要，如果程序不能被调试的话，如楼上所言加个错误次数限制就行了。。。
sjdkx 雪币： 10014 活跃值： (2012) 能力值： ( LV4，RANK：40 ) 在线值：发帖 154 回帖 834 粉丝 10 关注私信	sjdkx 2013-8-21 14:28 6 楼 0 　　真正能将程序分析透的能有几人，往往只是个大致，而许多东西是细节决定成败。陷阱这种东西是很容易实现的，可是对付它却要下大功夫，能达到加密的微动，解密的大动也不错啊。
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 2013-8-21 15:22 7 楼 0 ***……人家要是连纯算法程序都无法分析还混个屁啊…… 你是不是不关注其他的板块啊？而且你知不知到有种东西叫ida 他有种插件专门用来讲汇编反向成c……
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 2013-8-21 15:23 8 楼 0 你凭什么假设密码学最怕假设了你要假设的话…… 那你干嘛不用xor算法全部xor一个A9? 反正别人也不知道一看他这东西就不是芯片级能用的……就算可以……那也是可以扣出来的
jeffcjh 雪币： 58 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 267 粉丝 0 关注私信	jeffcjh 2013-8-21 20:23 9 楼 0 是的，我看了LZ发的一系列帖子好像都有一个基本前提是对手不会了解到加密内部的实现细节，可是这个假设是与现代密码学基本原则“只能假定不知道密钥而可能掌握其他一切”相违背的。
sjdkx 雪币： 10014 活跃值： (2012) 能力值： ( LV4，RANK：40 ) 在线值：发帖 154 回帖 834 粉丝 10 关注私信	sjdkx 2013-8-22 08:50 10 楼 0 rqqeq:说话请文明点。　　许多东西就是看懂了仍然是个大障碍，信息加密是为了信息安全，给破解者制造麻烦也是反制措施之一，不能因为对方能看懂就什么也不敢做了。：）
狼行绝路雪币： 81 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 97 粉丝 0 关注私信	狼行绝路 2013-8-26 14:56 11 楼 0 呵呵一般在技术论坛中装13的人现实中技术一般不说~ 混的也不行~ 咬文嚼字~~
noword_forever 雪币： 340 活跃值： (912) 能力值： ( LV9，RANK：220 ) 在线值：发帖 30 回帖 156 粉丝 1 关注私信	noword_forever 5 2013-8-27 14:31 12 楼 0 LZ还没理解什么是真正的安全，幻想把安全寄希望于黑箱。先去学学扎实基础知识吧，不要再贻笑大方了。
sjdkx 雪币： 10014 活跃值： (2012) 能力值： ( LV4，RANK：40 ) 在线值：发帖 154 回帖 834 粉丝 10 关注私信	sjdkx 2013-8-27 15:15 13 楼 0 　　信息安全是综合效果，本文的议论并不认为由此一项措施就安全无忧了，而是为达到安全目的的小小尝试而已，你认为没用不用就是了，这有什么贻笑大方的？
noword_forever 雪币： 340 活跃值： (912) 能力值： ( LV9，RANK：220 ) 在线值：发帖 30 回帖 156 粉丝 1 关注私信	noword_forever 5 2013-8-28 13:17 14 楼 0 那这个所谓的"密码陷阱"的用途何在呢？本地软件注册？Cracker可以直接反汇编你的代码，根本没效果。有时反而适得其反，让人更快的找到验证的区域。远程认证？“降低运行速度，或进入死循环或退出程序”——这是在搞笑吗？
sjdkx 雪币： 10014 活跃值： (2012) 能力值： ( LV4，RANK：40 ) 在线值：发帖 154 回帖 834 粉丝 10 关注私信	sjdkx 2013-8-28 13:36 15 楼 0 　　就是直接给你源码，障碍依旧是障碍，密码陷阱是为了给穷举攻击等制造障碍，你以为知道源码障碍就那么好克服吗？也不是指望有此设置就万事大吉的，能达到制造障碍就可以了。
noword_forever 雪币： 340 活跃值： (912) 能力值： ( LV9，RANK：220 ) 在线值：发帖 30 回帖 156 粉丝 1 关注私信	noword_forever 5 2013-8-28 14:08 16 楼 0 穷举攻击是在面对黑箱时才使用的。本地软件注册，根本不存在黑箱；网络验证，你是要把自己的主机搞死机？所以还是请你回答，这个所谓的"密码陷阱"的实际用途到底何在呢？
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

sjdkx

154

发帖

834

回帖

RANK

关注

私信

他的文章

时间相关动态加密技术

无密码加密

凯撒密码的现代应用

流密码安全加密的要点

抽象定义密码

关于我们

联系我们

企业服务

看雪公众号

最新回复 (15)
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 2013-8-21 11:56 2 楼 0 -1 这个p用都没有……人家分析一下你的程序，你的这些小手脚别人就看出来了…… 还是老老实实去研究写靠谱的算法为好
狼行绝路雪币： 81 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 97 粉丝 0 关注私信	狼行绝路 2013-8-21 12:07 3 楼 0 怎么没有用既然对方已经使用穷举这种手段了，基本上可以假设对方无法调试，分析你的程序，例如密码门~ 密码箱~ 密码陷阱会有一定作用~
publickey 雪币： 62 活跃值： (27) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 101 粉丝 0 关注私信	publickey 2013-8-21 12:31 4 楼 0 使用密码设备时，通常几次密码输入出错，设备就被锁定，无法操作了。
xhbuming 雪币： 2769 活跃值： (781) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 107 粉丝 3 关注私信	xhbuming 2013-8-21 13:20 5 楼 0 应该真没什么必要，如果程序不能被调试的话，如楼上所言加个错误次数限制就行了。。。
sjdkx 雪币： 10014 活跃值： (2012) 能力值： ( LV4，RANK：40 ) 在线值：发帖 154 回帖 834 粉丝 10 关注私信	sjdkx 2013-8-21 14:28 6 楼 0 　　真正能将程序分析透的能有几人，往往只是个大致，而许多东西是细节决定成败。陷阱这种东西是很容易实现的，可是对付它却要下大功夫，能达到加密的微动，解密的大动也不错啊。
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 2013-8-21 15:22 7 楼 0 ***……人家要是连纯算法程序都无法分析还混个屁啊…… 你是不是不关注其他的板块啊？而且你知不知到有种东西叫ida 他有种插件专门用来讲汇编反向成c……
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 2013-8-21 15:23 8 楼 0 你凭什么假设密码学最怕假设了你要假设的话…… 那你干嘛不用xor算法全部xor一个A9? 反正别人也不知道一看他这东西就不是芯片级能用的……就算可以……那也是可以扣出来的
jeffcjh 雪币： 58 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 267 粉丝 0 关注私信	jeffcjh 2013-8-21 20:23 9 楼 0 是的，我看了LZ发的一系列帖子好像都有一个基本前提是对手不会了解到加密内部的实现细节，可是这个假设是与现代密码学基本原则“只能假定不知道密钥而可能掌握其他一切”相违背的。
sjdkx 雪币： 10014 活跃值： (2012) 能力值： ( LV4，RANK：40 ) 在线值：发帖 154 回帖 834 粉丝 10 关注私信	sjdkx 2013-8-22 08:50 10 楼 0 rqqeq:说话请文明点。　　许多东西就是看懂了仍然是个大障碍，信息加密是为了信息安全，给破解者制造麻烦也是反制措施之一，不能因为对方能看懂就什么也不敢做了。：）
狼行绝路雪币： 81 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 97 粉丝 0 关注私信	狼行绝路 2013-8-26 14:56 11 楼 0 呵呵一般在技术论坛中装13的人现实中技术一般不说~ 混的也不行~ 咬文嚼字~~
noword_forever 雪币： 340 活跃值： (912) 能力值： ( LV9，RANK：220 ) 在线值：发帖 30 回帖 156 粉丝 1 关注私信	noword_forever 5 2013-8-27 14:31 12 楼 0 LZ还没理解什么是真正的安全，幻想把安全寄希望于黑箱。先去学学扎实基础知识吧，不要再贻笑大方了。
sjdkx 雪币： 10014 活跃值： (2012) 能力值： ( LV4，RANK：40 ) 在线值：发帖 154 回帖 834 粉丝 10 关注私信	sjdkx 2013-8-27 15:15 13 楼 0 　　信息安全是综合效果，本文的议论并不认为由此一项措施就安全无忧了，而是为达到安全目的的小小尝试而已，你认为没用不用就是了，这有什么贻笑大方的？
noword_forever 雪币： 340 活跃值： (912) 能力值： ( LV9，RANK：220 ) 在线值：发帖 30 回帖 156 粉丝 1 关注私信	noword_forever 5 2013-8-28 13:17 14 楼 0 那这个所谓的"密码陷阱"的用途何在呢？本地软件注册？Cracker可以直接反汇编你的代码，根本没效果。有时反而适得其反，让人更快的找到验证的区域。远程认证？“降低运行速度，或进入死循环或退出程序”——这是在搞笑吗？
sjdkx 雪币： 10014 活跃值： (2012) 能力值： ( LV4，RANK：40 ) 在线值：发帖 154 回帖 834 粉丝 10 关注私信	sjdkx 2013-8-28 13:36 15 楼 0 　　就是直接给你源码，障碍依旧是障碍，密码陷阱是为了给穷举攻击等制造障碍，你以为知道源码障碍就那么好克服吗？也不是指望有此设置就万事大吉的，能达到制造障碍就可以了。
noword_forever 雪币： 340 活跃值： (912) 能力值： ( LV9，RANK：220 ) 在线值：发帖 30 回帖 156 粉丝 1 关注私信	noword_forever 5 2013-8-28 14:08 16 楼 0 穷举攻击是在面对黑箱时才使用的。本地软件注册，根本不存在黑箱；网络验证，你是要把自己的主机搞死机？所以还是请你回答，这个所谓的"密码陷阱"的实际用途到底何在呢？
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复