感谢XKCD的漫画,现在世界上所有的黑客猜密码的时候,都会试试「对马电池订书钉」(correcthorsebatterystaple)这个密码。
前情提要:可能各位煎蛋蛋友看了题图和这句话后,会有点懵。其实「对马电池订书钉」出自XFCD发表的漫画名为「密码强度」:
但是……这幅漫画显然太低估黑客们的实力了:
OK,这可能是煎蛋史上最臭最长的文章,翻译君为了体量诸位蛋友的耐心,先上一个删减版把这事儿说清楚:
咳,然后是献给好学蛋友们的正文: 3月,博客作者Nate Anderson,下载了一份侧漏的暴库密码表,内含超过16,000个hash过的真实密码,经过百度知道的简单培训,结果只花了大概能煎3个蛋的功 夫,破解了其中一半的密码。这给所有人提了一个警醒:如果一个没有经过任何训练的蛋友,就能达到这个程度,想一下一个职业黑客能搞出多大动静。 不用自行脑补了,我们请来了三位职业黑客,使出浑身解数,来破解Anderson练手的那份密码表,展开了终极PK。你会看到包括数字,大小写,标点符号的长密码是如何被快速破处出的。 这份密码表里总共有16,449个hash过(MD5)的密码。任何负责的网站,都不会明文存储用户的密码信息,而是用MD5加密,这种加密过程是不可逆 的,也就是说,就算拿到MD5密文,也不可能直接「反求」出原文。比如 「passwd」 被hash过以后,密文是 「5f4dcc3b5aa765d61d8327deb882cf99」 。 虽然Anderson的47%破解率已经非常不错,但对于职业黑客来说,还是不足挂齿。为了证明这点,我们请来他们来演示一下,说真的,他们没有让我们失 望。就算三个里成绩最差的一个——他用最弱的硬件,花了一个小时,用最小的字典,中间还接受了一次采访,也搞定62%的密码,而最好成绩是90%。 这个三人黑客团队包括一名密码破解软件专家,一名安全顾问,和一名匿名自由黑客。其中最牛的一名黑客是来自S.C.G., 使用一台只配置一块AMD 7970 GPU的家用电脑,花了20小时破解了90%,共14,734个密码。免费GPU密码破解软件oclHashcat-plus(参 加测试的黑客都使用这款软件)的开发负责人,Jens Steube 也取得了不俗的成绩,他在一个多小时的时间里,用一台双AMD 6690 GPU的机器,搞定了 13,486个密码,占全部的82%!另外一名诨号 moniker radix的黑客,用一块AMD 7970,搞定62%的密码,也差不多花了1个小时,如果不是被我们打扰接受采访,他应该能取得更好的成绩。 |
