六大權(quán)益!華為8月服務(wù)日開啟:手機(jī)免費(fèi)貼膜、維修免人工費(fèi)
8月5日消息,一年一度的華為開發(fā)者大會(huì)2023(Together)日前在松山湖拉開帷幕,與此同時(shí),華為8月服務(wù)日也式開啟,到店可享六大專屬權(quán)益。華為用戶可在華為商城Ap
說出來你可能不信,無密碼登錄賬號(hào),有時(shí)候真的比密碼登錄安全。
每年都會(huì)有人細(xì)數(shù)微信的罪狀,其中一條必被提及的就是 PC 端永遠(yuǎn)只能掃碼登錄,對(duì)比其他軟件賬號(hào)可以用密碼登錄并不方便。
畢竟很多時(shí)候,我登錄 PC 端微信的原因,就是因?yàn)槲椰F(xiàn)在不方便用手機(jī)。。。
但是近有一幫人干了一件賊賽博的事兒,讓感覺我們可能錯(cuò)怪微信了。
網(wǎng)絡(luò)安全公司 Hive Systems 近日發(fā)布了其 2025 年密碼表,年表顯示,如果黑客擁有一張前段時(shí)間剛發(fā)布的 RTX 5090 的話,他們破解一個(gè)8位純數(shù)字的密碼只需要 3個(gè)小時(shí)。
而如果黑客們恰好財(cái)力雄厚的擁有 12 張 5090 的話,破解的時(shí)間能縮短到 15 分鐘。
也就是說,如果你還在使用8位純數(shù)字當(dāng)密碼的話,理論上黑客只要花不到 20w 人民幣就可以在15分鐘內(nèi)拿下你的賬號(hào)。
雖然好像也不會(huì)有人這么閑這么有錢,會(huì)拿 12 張 5090 來破解我價(jià)值不足 100 塊的賬號(hào)(bushi
但是表格里的另一個(gè)趨勢,還是引起了托尼的擔(dān)憂 —— 同樣是8位純數(shù)字的密碼,用4090 破解還需要 4 個(gè)小時(shí),而用 5090 的話就能快一個(gè)小時(shí)?
我也順帶去查了下去年 Hive Systems 發(fā)布的年表,發(fā)現(xiàn)這些年來,用顯卡破解密碼的速度,可以說越來越快了。
在驚訝老黃這卡算力恐怖如斯的同時(shí),托尼也忍不住在想 ——
你說現(xiàn)在的顯卡啊、處理器啊,一個(gè)個(gè)算力都這么猛了,是不是我們的賬號(hào)密碼是不是越來越不安全了?
像微信這樣跟我們的錢袋子息息相關(guān)的軟件,是不是出于這樣的考量,所以才這么執(zhí)著于用掃碼登錄呢?
這還不只是托尼自己有過這樣的想法,1976 年,惠特菲爾德?迪菲(Whitfield Diffie)和馬丁?赫爾曼(Martin Hellman)在提出公鑰加密理論時(shí)指出:“密碼學(xué)的安全性依賴于計(jì)算復(fù)雜性,而算力的指數(shù)級(jí)增長可能顛覆這一基礎(chǔ)”。
惠特菲爾德?迪菲(Whitfield Diffie)和馬丁?赫爾曼(Martin Hellman)
不過回到 Hive Systems 這個(gè)實(shí)驗(yàn)本身,我們可能還要了解一下,所謂的用顯卡暴力破解賬號(hào)密碼,到底是怎么一個(gè)過程。
其實(shí) Hive Systems ,已經(jīng)在他們的官網(wǎng)上講的非常清楚了。
首先各大平臺(tái)拿到我們的密碼之后,并不會(huì)以明文的形式存在服務(wù)器里。
就好比說,你的密碼是 “ password ” ,服務(wù)器并不會(huì)直接存儲(chǔ)這一串字母,而是用一個(gè)哈希值計(jì)算軟件,先加密一遍,變成 5f4dcc3b5aa765d61d8327deb882cf99,然后再存儲(chǔ)。
也就是說平臺(tái)保存的密碼不是密碼本身,而是密碼對(duì)應(yīng)的是以哈希值,這樣做主要是防止有黑客攻破了服務(wù)器的安全防線之后,直接就能拿到用戶的賬號(hào)密碼。
圖片來源:天翼云-《實(shí)現(xiàn)數(shù)據(jù)列的加解密》
而且哈希值是不可逆的,因?yàn)橛貌煌V涤?jì)算軟件得到的哈希值也有可能不一樣,所以即使黑客真的攻破了服務(wù)器,拿到了哈希值,也沒法直接知道密碼。除非黑客能同時(shí)破解哈希值的加密算法。
相信有這么厲害的黑客,還不如信我是秦始皇。
圖片來源:天翼云-《實(shí)現(xiàn)數(shù)據(jù)列的加解密》
所以,黑客想要進(jìn)一步的話,也沒有更好的法子,只能嘗試去列出你鍵盤上所有字符的組合,然后對(duì)它們進(jìn)行哈希運(yùn)算,直到找到跟服務(wù)器偷來的哈希值一樣的組合。
這個(gè)組合很有可能就是正確的密碼,黑客這時(shí)候才會(huì)拿著試出來的這個(gè)密碼到登陸界面去嘗試登錄你的賬號(hào)。
說是黑客,手法好像也沒比咱一個(gè)個(gè)試行李箱密碼高明到哪里去啊。
而顯卡在整個(gè)過程中發(fā)揮的作用,更多的還是加快不同字母和數(shù)字組合的哈希值計(jì)算,讓黑客能夠盡快得出哈希值跟正確密碼匹配的字符組合。
畢竟我們都知道,顯卡干別的不行,擅長的就是進(jìn)行并行計(jì)算,一次性計(jì)算多個(gè)組合可以說是手拿把掐。
來源:NVIDIA-《在 GPU 上使用大規(guī)模并行哈希圖實(shí)現(xiàn)性能大化》
聰明的差友們應(yīng)該就要問了,既然是這樣,我多整幾個(gè)字符組合,既有大寫又有小寫還帶個(gè)標(biāo)點(diǎn)符號(hào)不就得了,這樣黑客就得多試幾個(gè)組合。
這的確是不錯(cuò)的提高賬號(hào)密碼安全的方式。
當(dāng)然啦,光靠這樣的方式也還是不夠的,因?yàn)槔碚撋希词辜恿烁嗟淖帜负头?hào)密碼,本質(zhì)上都只是一堆字符組合,依舊能被暴力算出來,只是時(shí)間和算力的問題而已。
所以各大平臺(tái),無一例外都在密碼的基礎(chǔ)上,引入了額外的安驗(yàn)證機(jī)制,業(yè)內(nèi)統(tǒng)稱為多因素認(rèn)證(MFA)。
圖片來源:代碼講故事 - 《項(xiàng)目實(shí)戰(zhàn)詳細(xì)講解帶有條件響應(yīng)的 SQL 盲注、MFA繞過技術(shù)、MFA繞過技術(shù)、2FA繞過和技巧、CSRF繞過、如何尋找NFT市場中的XSS漏洞》
顧名思義,多因素認(rèn)證的意思,就是在賬號(hào)密碼的基礎(chǔ)上,引入別的認(rèn)證機(jī)制實(shí)現(xiàn)登錄,大家比較熟悉的指紋識(shí)別登錄和面部登錄,還有掃碼驗(yàn)證這些都屬于多因素認(rèn)證。
除此之外還有短信驗(yàn)證碼、硬件令牌等等。
短信驗(yàn)證碼的技術(shù)原理大家應(yīng)該比我還清楚了,實(shí)際上就是服務(wù)器給用戶發(fā)一個(gè)臨時(shí)性的密鑰,等用戶輸入之后再拿來跟剛剛發(fā)出去的對(duì)比,對(duì)上了就說明 “ 他是對(duì)的人 ”。
圖片來源:bboyzqh-《簡析發(fā)送手機(jī)驗(yàn)證碼原理》
我們開頭提的掃碼實(shí)現(xiàn)思路也有相似之處,細(xì)究起來,實(shí)際上是將用戶的手機(jī)賬號(hào)當(dāng)成了開鎖鑰匙,默認(rèn)用戶能夠進(jìn)入手機(jī)拿到驗(yàn)證碼,能夠掃碼,就說明用戶已經(jīng)通過了PIN、指紋或面部識(shí)別驗(yàn)證,基本就可以確保是在機(jī)主本人操作。
相比之下,指紋識(shí)別跟面部識(shí)別的這種生物特征認(rèn)證方式會(huì)更加復(fù)雜一點(diǎn),大家感興趣的話以后有機(jī)會(huì)可以單開一篇帶大家的復(fù)習(xí)一下這兩種認(rèn)證方式,是怎么保證安全登錄的。
圖片來源:成都有范-《蘋果測試帶有屏幕指紋傳感器的iPhone,或與面部識(shí)別共存》
不管是哪一種多因素認(rèn)證方式,他們的核心邏輯都大差不差,那就是給賬號(hào)再上一道鎖,讓用戶在登錄時(shí)除了輸密碼這種 “ 知道的東西 ” 之外,還得再驗(yàn)證 “ 擁有的東西 ” 。
這樣就大大地提高了黑客破解的門檻,手機(jī)號(hào)接收驗(yàn)證碼、面部還有指紋這些,可不像一串密碼一樣,光靠幾張顯卡硬算就能算出來的。
早在2020年,微軟的工程師RSA安全會(huì)議上提到過,多因素認(rèn)證可以抵擋掉絕大多數(shù)的自動(dòng)化賬戶攻擊,他們每個(gè)月追蹤的被攻擊賬戶中,99.9% 都沒有使用多因素身份驗(yàn)證。
圖片來源:站長之家-《微軟:99.9%的被黑賬戶沒有使用多因素身份認(rèn)證》
不用四舍五入都可以說是被攻擊全因?yàn)橛脩粢琅f執(zhí)著只用密碼認(rèn)證,沒用多因素認(rèn)證。
而在企業(yè)應(yīng)用領(lǐng)域,多因素認(rèn)證的作用就更大了。
一家名叫 JumpCloud 的公司,在它的《2024年IT趨勢報(bào)告》聲稱,83%的組織對(duì)某些IT資源采用基于密碼的身份驗(yàn)證方式的同時(shí),還要求使用多因素身份驗(yàn)證,另外超過三分之二(66%)的組織要求使用生物識(shí)別技術(shù)。
來源:jumpcloud- < 2025 Multi-Factor Authentication (MFA) Statistics & Trends to Know >
然而這并不代表著,多因素驗(yàn)證就是牢不可破的。
一個(gè)叫 Beyond Identity 的網(wǎng)站就列舉了十大繞過多因素身份驗(yàn)證的經(jīng)典案例,眾多多因素認(rèn)證方案翻車的平臺(tái)里,不乏有微軟、Uber 這樣的全球性大平臺(tái)。
但不管怎么說,多因素認(rèn)證都是是要比純密碼認(rèn)證更加安全的。
所以以后登錄賬號(hào),不管是啥平臺(tái),建議大家能掃碼就掃碼,能指紋就指紋,總之別再盲目相信純密碼的安全性啦。
不過話又說回來,以咱現(xiàn)在這個(gè)記憶力,即使不是出于安全考慮,我估計(jì)也沒法用密碼登錄。
畢竟那么多賬號(hào),誰記得住哪個(gè)賬號(hào)的密碼是哪個(gè)(狗頭)。
本文鏈接:http://www.www897cc.com/showinfo-24-157993-0.html用RTX 5090破解密碼只要15分鐘 那為啥我的號(hào)還沒被盜
聲明:本網(wǎng)頁內(nèi)容旨在傳播知識(shí),若有侵權(quán)等問題請(qǐng)及時(shí)與本網(wǎng)聯(lián)系,我們將在第一時(shí)間刪除處理。郵件:2376512515@qq.com
Copyright ? 2016-2023 天津谷騏科技有限公司 版權(quán)所有 sitemap.xml
違法及侵權(quán)請(qǐng)聯(lián)系:2376512515@qq.com 津ICP備18001702號(hào)
津公網(wǎng)安備 12010102000574號(hào)