[讨论]穷举攻击的末路-密码应用-看雪-安全社区|安全招聘|kanxue.com

最新回复 (10)
liwenl 雪币： 53 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 66 粉丝 0 关注私信	liwenl 2014-1-21 20:25 2 楼 0 我通过分析知道你用的哪个文件不就破解了？
青v云雪币： 40 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 43 粉丝 0 关注私信	青v云 2014-1-21 21:51 3 楼 0 这不就是加了salt吗, 只不过很长而已
sjdkx 雪币： 10014 活跃值： (2012) 能力值： ( LV4，RANK：40 ) 在线值：发帖 154 回帖 834 粉丝 10 关注私信	sjdkx 2014-1-21 22:23 4 楼 0 　　不是啊，跟salt不同。　　关联文件是需要用户选择的，无法分析用户选择的文件，就像无法猜出用户密码一样。
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 2014-1-21 22:28 5 楼 0 你这就相当于是指定任意文件为密钥文件一样的思路 TrueCrypt有类似功能
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 2014-1-21 22:29 6 楼 0 文件数目是非常有限的…… 而且如果你把这文件藏起来的话……不就等于设定超长密码……然后把密码抄下来藏起来一样……
bakurise 雪币： 108 活跃值： (44) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 196 粉丝 0 关注私信	bakurise 2014-1-22 13:24 7 楼 0 某软件的做法非常好，能有效的改善穷举攻击，类似原理是使用多次加密，将一次密码计算的时间拉到非常长。这个情况下穷举的话效率也非常低。例如： for (i = 0; i < 10000; i++) { s = md5_sha_aes(s) } 个人的一个小看法
sjdkx 雪币： 10014 活跃值： (2012) 能力值： ( LV4，RANK：40 ) 在线值：发帖 154 回帖 834 粉丝 10 关注私信	sjdkx 2014-1-22 14:02 8 楼 0 　　可以选择的文件是很多的，例如操作系统的exe或dll文件，这些文件也相对稳定些，当然能使用自己制作的乱码文件就更好了。　　选择的关联文件是和用户密码一同使用的，采用其中什么数据都是用户密码直接控制的，所以即使知道了被选择文件也没有用。除非同时猜中了用户密码和关联文件。
idoiter 雪币： 33 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 66 粉丝 0 关注私信	idoiter 2014-1-22 14:04 9 楼 0 我只想，你怎么解密。
sjdkx 雪币： 10014 活跃值： (2012) 能力值： ( LV4，RANK：40 ) 在线值：发帖 154 回帖 834 粉丝 10 关注私信	sjdkx 2014-1-22 16:51 10 楼 0 　　解密和加密一样需要输入用户密码并且选择关联文件。
sjdkx 雪币： 10014 活跃值： (2012) 能力值： ( LV4，RANK：40 ) 在线值：发帖 154 回帖 834 粉丝 10 关注私信	sjdkx 2014-2-9 07:50 11 楼 0 　　如何关联文件？仅举一例：例如加密程序关联了文件A，文件长度为N，加密程序从N/2处取值，如果取到的数值是零或和上一个值相同则向后继续取值，这样取M个字节，可将其并入用户密码参与运算......。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (10)
liwenl 雪币： 53 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 66 粉丝 0 关注私信	liwenl 2014-1-21 20:25 2 楼 0 我通过分析知道你用的哪个文件不就破解了？
青v云雪币： 40 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 43 粉丝 0 关注私信	青v云 2014-1-21 21:51 3 楼 0 这不就是加了salt吗, 只不过很长而已
sjdkx 雪币： 10014 活跃值： (2012) 能力值： ( LV4，RANK：40 ) 在线值：发帖 154 回帖 834 粉丝 10 关注私信	sjdkx 2014-1-21 22:23 4 楼 0 　　不是啊，跟salt不同。　　关联文件是需要用户选择的，无法分析用户选择的文件，就像无法猜出用户密码一样。
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 2014-1-21 22:28 5 楼 0 你这就相当于是指定任意文件为密钥文件一样的思路 TrueCrypt有类似功能
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 2014-1-21 22:29 6 楼 0 文件数目是非常有限的…… 而且如果你把这文件藏起来的话……不就等于设定超长密码……然后把密码抄下来藏起来一样……
bakurise 雪币： 108 活跃值： (44) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 196 粉丝 0 关注私信	bakurise 2014-1-22 13:24 7 楼 0 某软件的做法非常好，能有效的改善穷举攻击，类似原理是使用多次加密，将一次密码计算的时间拉到非常长。这个情况下穷举的话效率也非常低。例如： for (i = 0; i < 10000; i++) { s = md5_sha_aes(s) } 个人的一个小看法
sjdkx 雪币： 10014 活跃值： (2012) 能力值： ( LV4，RANK：40 ) 在线值：发帖 154 回帖 834 粉丝 10 关注私信	sjdkx 2014-1-22 14:02 8 楼 0 　　可以选择的文件是很多的，例如操作系统的exe或dll文件，这些文件也相对稳定些，当然能使用自己制作的乱码文件就更好了。　　选择的关联文件是和用户密码一同使用的，采用其中什么数据都是用户密码直接控制的，所以即使知道了被选择文件也没有用。除非同时猜中了用户密码和关联文件。
idoiter 雪币： 33 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 66 粉丝 0 关注私信	idoiter 2014-1-22 14:04 9 楼 0 我只想，你怎么解密。
sjdkx 雪币： 10014 活跃值： (2012) 能力值： ( LV4，RANK：40 ) 在线值：发帖 154 回帖 834 粉丝 10 关注私信	sjdkx 2014-1-22 16:51 10 楼 0 　　解密和加密一样需要输入用户密码并且选择关联文件。
sjdkx 雪币： 10014 活跃值： (2012) 能力值： ( LV4，RANK：40 ) 在线值：发帖 154 回帖 834 粉丝 10 关注私信	sjdkx 2014-2-9 07:50 11 楼 0 　　如何关联文件？仅举一例：例如加密程序关联了文件A，文件长度为N，加密程序从N/2处取值，如果取到的数值是零或和上一个值相同则向后继续取值，这样取M个字节，可将其并入用户密码参与运算......。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复