首页
课程
问答
CTF
社区
招聘
峰会
发现
排行榜
知识库
工具下载
看雪20年
看雪商城
证书查询
登录
注册
首页
社区
课程
招聘
发现
问答
CTF
排行榜
知识库
工具下载
峰会
看雪商城
证书查询
社区
密码应用
发新帖
0
0
[讨论]穷举攻击的末路
发表于: 2014-1-21 19:56
6892
[讨论]穷举攻击的末路
sjdkx
2014-1-21 19:56
6892
一般用流密码加密用户密码不受限制,如果密码较长穷举攻击是无可奈何的。但是密码过长则不便于记忆。本文探索一种方法,即使密码不怎么长也没关系,穷举攻击仍然无可奈何。
方法很简单就是在加密时除了一般的用户密码输入外,让加密程序去关联一个文件,这个文件可以是任何文件,唯一要求是在加密解密过程中数据保持不变,你可以使用操作系统的文件,或自己特设的文件,使用中检测其是否变动,加密程序将使用这个文件中的数据参与运算。
这样不但穷举攻击将面临无限多选择而无法使用,分析法也将由于添加了许多未知数而不可能成功。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
收藏
・
0
免费
・
0
支持
分享
分享到微信
分享到QQ
分享到微博
赞赏记录
参与人
雪币
留言
时间
查看更多
赞赏
×
1 雪花
5 雪花
10 雪花
20 雪花
50 雪花
80 雪花
100 雪花
150 雪花
200 雪花
支付方式:
微信支付
赞赏留言:
快捷留言
感谢分享~
精品文章~
原创内容~
精彩转帖~
助人为乐~
感谢分享~
最新回复
(
10
)
liwenl
雪 币:
53
活跃值:
(42)
能力值:
( LV2,RANK:10 )
在线值:
发帖
12
回帖
66
粉丝
0
关注
私信
liwenl
2
楼
我通过分析知道你用的哪个文件 不就破解了?
2014-1-21 20:25
0
青v云
雪 币:
40
活跃值:
(40)
能力值:
( LV3,RANK:20 )
在线值:
发帖
2
回帖
43
粉丝
0
关注
私信
青v云
3
楼
这不就是加了salt吗, 只不过很长而已
2014-1-21 21:51
0
sjdkx
雪 币:
10014
活跃值:
(2012)
能力值:
( LV4,RANK:40 )
在线值:
发帖
154
回帖
834
粉丝
10
关注
私信
sjdkx
4
楼
不是啊,跟salt不同。
关联文件是需要用户选择的,无法分析用户选择的文件,就像无法猜出用户密码一样。
2014-1-21 22:23
0
rqqeq
雪 币:
11
活跃值:
(40)
能力值:
( LV2,RANK:10 )
在线值:
发帖
18
回帖
908
粉丝
0
关注
私信
rqqeq
5
楼
你这就相当于是指定任意文件为密钥文件一样的思路
TrueCrypt有类似功能
2014-1-21 22:28
0
rqqeq
雪 币:
11
活跃值:
(40)
能力值:
( LV2,RANK:10 )
在线值:
发帖
18
回帖
908
粉丝
0
关注
私信
rqqeq
6
楼
文件数目是非常有限的……
而且如果你把这文件藏起来的话……不就等于设定超长密码……然后把密码抄下来藏起来一样……
2014-1-21 22:29
0
bakurise
雪 币:
98
活跃值:
(89)
能力值:
( LV2,RANK:10 )
在线值:
发帖
8
回帖
196
粉丝
0
关注
私信
bakurise
7
楼
某软件的做法非常好,能有效的改善穷举攻击,类似原理是使用多次加密,将一次密码计算的时间拉到非常长。
这个情况下穷举的话效率也非常低。
例如:
for (i = 0; i < 10000; i++)
{
s = md5_sha_aes(s)
}
个人的一个小看法
2014-1-22 13:24
0
sjdkx
雪 币:
10014
活跃值:
(2012)
能力值:
( LV4,RANK:40 )
在线值:
发帖
154
回帖
834
粉丝
10
关注
私信
sjdkx
8
楼
可以选择的文件是很多的,例如操作系统的exe或dll文件,这些文件也相对稳定些,当然能使用自己制作的乱码文件就更好了。
选择的关联文件是和用户密码一同使用的,采用其中什么数据都是用户密码直接控制的,所以即使知道了被选择文件也没有用。除非同时猜中了用户密码和关联文件。
2014-1-22 14:02
0
idoiter
雪 币:
33
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
0
回帖
66
粉丝
0
关注
私信
idoiter
9
楼
我只想,你怎么解密。
2014-1-22 14:04
0
sjdkx
雪 币:
10014
活跃值:
(2012)
能力值:
( LV4,RANK:40 )
在线值:
发帖
154
回帖
834
粉丝
10
关注
私信
sjdkx
10
楼
解密和加密一样需要输入用户密码并且选择关联文件。
2014-1-22 16:51
0
sjdkx
雪 币:
10014
活跃值:
(2012)
能力值:
( LV4,RANK:40 )
在线值:
发帖
154
回帖
834
粉丝
10
关注
私信
sjdkx
11
楼
如何关联文件?仅举一例:例如加密程序关联了文件A,文件长度为N,加密程序从N/2处取值,如果取到的数值是零或和上一个值相同则向后继续取值,这样取M个字节,可将其并入用户密码参与运算......。
2014-2-9 07:50
0
游客
登录
|
注册
方可回帖
回帖
表情
雪币赚取及消费
高级回复
返回
sjdkx
154
发帖
834
回帖
40
RANK
关注
私信
他的文章
时间相关动态加密技术
11152
无密码加密
11586
凯撒密码的现代应用
11409
流密码安全加密的要点
10120
抽象定义密码
9369
关于我们
联系我们
企业服务
看雪公众号
专注于PC、移动、智能设备安全研究及逆向工程的开发者社区
看原图
赞赏
×
雪币:
+
留言:
快捷留言
为你点赞!
返回
顶部