|
||
|
Elite Member
  
加入日期: Dec 2006 您的住址: Taipei
文章: 8,344
|
密碼保護的標地物價值, 若(遠)低於破解該密碼所需要的成本, 那實務上應該就不會有人想去破.
所以不必去想 怎麼不被破, 只要讓想破解的人很挫折就差不多會有效. 例如存取的媒介必須要經過網路的話, 延長你的可重複登入間隔, 就是一個很基本也很有效 的防止暴力破解方法, 同一個連線中, 第一次登入錯誤兩秒後才給重新登入, 兩次錯誤 五秒後才反應, 三次錯誤15秒才反應....讓你沒有足夠時間與耐心去完成破解即可. 登入錯誤後鎖帳戶的機制也有不少人採用, 不過副作用就是破解的人失敗, 你也登入不了, 如果駭客知道你的系統有這樣的機制, 也是可以直接癱瘓你的使用權, 並不一定真的比較 安全. 因為你在資訊安全要求的C.I.A.三要件 Confidentiality, Integrity, Availability 已經失去"可用性". 目前實務上絶大多數系統都不是2 factors認證系統, 也沒有太多靠憑證或是token的, 靠單層密碼對廠商來做一定是最經濟簡單, 自己使用密碼可以配置一些你才知道的規則性 但是對其他人來說卻無法得知, 也可以很容易的記住非常多組不同的帳密. 例如password 設 1234, 這雖然是世界上最好破的密碼前幾名, 但是你用了shift鍵 變成!@#$之後, 後面加上你要存取系統的代稱, 例如PCDVD這個站, 你的密碼變成 !@#$_PCDVD, yahoo 的密碼變成 !@#$_yahoo, msn的密碼變成!@#$_msn 你就可以很容易的記住數十個不同系統的密碼, 雖然看穿了之後覺得太簡單, 但是不知道 你所設規則的前提下, 要破解隨便就達十個字元的大小寫加英數字與符號字元的密碼, 幾乎會是登天一般的挑戰, 加上自己有計畫的週期更新, 也不會太容易被破解. |
|||||||
2010-08-20, 04:51 PM
#31
|
|
|
Major Member
 加入日期: Jul 2001
文章: 155
|
小弟覺得自己用的密碼要好記又要夠安全就是自己搞一套編碼, 有學過基本algorithm, 要自己編一套簡單的編碼應該不難. 小弟公司的網管的重要密碼就是這樣, 每個字母跟數字有一套演算的方法, 每個字母會演算出三位或五位的結果(結果還不是數字, 而視數字, 字母加符號).
但你不知道這演算法的話, 永遠也無法算出來. 因為編出來都是14位以上, 電腦計算再強, 用BRUTEFORCE可能也要幾十年才能算得出來吧. 而一些超重要的密碼, 更是每個月改一次. 強者我朋友更絕, 他不知道為甚麼小時候就背會了摩斯密碼, 他的任何密碼就是username的摩斯馬用他那個網站的字母以及符號代替長短. 因為一直看著密碼, 所以密碼永遠也不用擔心會忘掉. 大多能破解的密碼主要就在於太簡單以及永遠不變, 才會讓人有機可乘. 而編碼的形式過於固定以及簡單也是容易攻破的一個要點. 密碼永遠會是有用的東西, 只是人為了方便會將密碼以各種不同方式來替代. 此文章於 2010-08-20 09:15 PM 被 JeiJei 編輯. |
||
|
2010-08-20, 09:13 PM
#32
|
|
|
Junior Member
加入日期: Jan 2003 您的住址: Shattrath City
文章: 947
|
密碼只是一種保護, 幾年前認識一些大陸人,
那時我們還在到處要 window 98 的 SN, 他們說, 直接跳過那個密碼 loop 不就好了.. 哈~ 後來比較了解後, 密碼只是一道門的鎖和鑰.. 只是如果我從窗戶爬進去你也沒辦法對吧.. |
|
2010-08-20, 09:34 PM
#33
|
|
|
*停權中*
加入日期: Mar 2003
文章: 3,129
|
[YOUTUBE]Sre7Q4XRi7I&start=1934[/YOUTUBE]
粒子、讚、查理、回音、放大、探戈。 不曉得還有什麼不錯的電影密碼學可用來設定密碼?  此文章於 2017-01-17 10:56 PM 被 bluse 編輯. |
|
2017-01-17, 10:53 PM
#35
|
|
|
Golden Member
加入日期: Apr 2003
文章: 2,592
|
引用:
那是北約代字啦! A=Alpha B=Bravo C=Charlie.... 片中的代碼只是驗證訊息真偽,在海軍應該是電信或譯電管的,有專門的密碼本 |
|
|
2017-01-17, 11:30 PM
#36
|
|
|
Amateur Member
 加入日期: Sep 2004
文章: 37
|
密碼這個問題之前想了很久
結果有一次突然想起阿斯拉第一部要換車 系統要轉過去新車,主角把他爸常講的話當成密碼打進去就成功轉過去 以後的密碼演算加入unicode那些文字應該會很有趣 只是現階段密碼都是一連串英文髒話混數字及符號就是了  還有null跟empty,error這種選項 絕對好記 而且不會讓人家覺得那是密碼的密碼  同事放假打電話跟我問密碼還以為我在罵他 寫在辦公室桌上都沒人發現長達10年之久  此文章於 2017-01-18 12:06 AM 被 neierte 編輯. |
|
2017-01-17, 11:59 PM
#37
|
|
|
Senior Member
加入日期: May 2003
文章: 1,179
|
幾年前有歐洲的銀行將使用者登錄銀行APP的輸入行為,收集用為除了密碼之外的辨識方式
前陣子已經看到廠商將這方式搬到手機應用上 舉個例子一組1234的密碼每個人輸入的方式可能不同,可能是 *, **, *或是**** 關鍵字typing behavior
__________________
我是誰 
|
|
2017-01-18, 12:20 AM
#38
|
|
|
Golden Member
加入日期: Feb 2004 您的住址: 從來處來
文章: 2,717
|
現在很少有人直接去破解密碼了,一是銀行或網站都有防暴力方式,試太多次會延長輸入時間。其實也不用鎖帳號,第三次失敗,以後每失敗一次鎖一分鐘,你用暴力也試不了幾組密碼。因此暴力測試不可行。
二監聽網路傳輸資訊,取得密碼hash, 再暴力破解。但是現在都用加密傳輸, 所以監聽網路資訊,還得先破解加密的傳輸資料才行。 比較擔心的是一些詐騙手法取得密碼的方式,像是假網站或釣魚郵件詐騙密碼,不然就裝針孔側錄或植入木馬或鍵盤紀錄程式......這比直接去破解密碼簡單且有效多了,而且防不甚防。 有些鍵盤紀錄器是硬體式的,用USB插在電腦就會自動紀錄,在網咖電腦上被偷插一支你也不一定會發現,事後再拔走,船過水無痕。所以很多人去網咖玩一玩,線上遊戲帳號就被盜了,不是沒有原因的。 |
|
2017-01-18, 02:07 AM
#39
|
|
|
Golden Member
加入日期: Feb 2004 您的住址: 從來處來
文章: 2,717
|
補充:古早時候加密傳輸不流行,BBS, FTP 等都明文傳輸。直接監聽就可以取得密碼 hash, 再做暴力破解。
大學時一個教授的BBS帳號忘了密碼,就是我幫他破解。結果他密碼只用五個字。程式跑一下就出來了,他一直誇我很厲害,我說沒有啦,是程式厲害。 現在要監聽傳輸破解密碼,要先破解加密傳輸,才能取得密碼hash,但是現行加密傳輸都是備經驗證的安全方式,要破解相當困難。絕不是電影演的那樣,神奇駭客按幾個鍵,跑個進度條,就什麼都破解了。這種演法把駭客當神,但也把所有的加密及密碼研究專家都當白癡了。 因此實際上駭客早就發展出更容易取得密碼的方式了,就是我上一篇說的釣魚網站、郵件,或木馬程式。當你認為你的密碼已經很複雜很安全時,不要因為一時輕忽,反而讓駭客輕易得到你的密碼了。 |
|
2017-01-18, 04:22 AM
#40
|
|
