我不是特别谈论加密,而是整体的安全性。是否可以采取任何安全措施来保护数据和/或系统,甚至可以在假设的时间内承受假设的资源量?
我认为答案是否定的,但我想在向人们大声说出来之前我会仔细检查,因为我不是安全专家。
更新:我应该指出,我不是在问这个,因为我需要实现一些东西。是一种无聊的好奇心。我还应该提到,我可以在这里处理假设。如果有任何相关性,请随意将诸如量子计算之类的东西带入方程式。
问问题
527 次
5 回答
5
One-time pad就是这样一种加密技术:它从根本上可以防止暴力破解,换句话说,信息理论上是安全的。如果您没有密钥,则无论您投入多大的计算能力,它都不会被“破坏”。诀窍是不可能将正确答案与所有其他可能的答案区分开来,因为每个答案的可能性都相同。
不幸的是,一次性密本在实践中几乎没有用处,因为密钥必须与您的明文一样长,密钥可能永远不会被重复使用,而且必须是随机的。所有这一切都意味着您无法从一个容易记住的密码中派生出密钥,因此您需要一种安全的密钥存储方法。但是,如果您已经可以保护大量密钥,那么您最好将明文放在那里而不进行加密。
于 2011-03-17T09:19:43.423 回答
3
首先想到的是在多次尝试失败后关闭访问(至少一段时间)。比如银行卡多次使用错误的密码后失效,或者手机多次解锁失败后删除了自己的数据。
当然,这不适用于攻击者可以在他自己的机器上复制的文件。
于 2011-03-17T09:17:13.417 回答
3
首先,您最好在ITsec.SE上尝试一下。
现在,回答你的问题:
是的,当然有。
蛮力攻击可以完成两件事:“猜测”某种秘密(例如密码、加密密钥等),以及压倒性资源(即泛滥或拒绝服务 - DoS)。
任何旨在防止任何其他形式攻击的反措施都与暴力破解无关。
例如,采用标准建议来防止 SQL 注入:输入验证、存储过程(或参数化查询)、命令/参数对象等。
你会在这里尝试暴力破解什么?如果代码编写正确,则没有“秘密”可以猜测。
现在,如果您要问“如何防止暴力攻击?”,那么答案将取决于攻击者试图暴力破解的内容。
假设我们正在谈论暴力破解密码/登录屏幕,有几个选项:强密码策略(使其更难),帐户锁定(限制暴力尝试率),限制(再次限制尝试率)等等.
于 2011-03-17T09:18:28.533 回答
2
理想情况下没有,但通常在您提供的解决方案中,可以引入一个额外的步骤,可以对可能受到直接暴力破解的数据进行模糊处理,使其难以处理或毫无意义
例如:加密并通过网络发送的密码可能会受到暴力破解,但如果通过将其转换为某种形式然后通过网络发送来混淆它,那么除非攻击者也知道转换功能,否则即使暴力破解也可能无济于事
于 2011-03-17T09:18:23.943 回答
1
您始终可以尝试寻找重复/大量尝试(例如登录)并暂时甚至永久禁止源(IP)。
谈论分布式攻击当然要困难得多,但是您仍然可以发布大规模临时禁令并为未知用户缩减服务。
我不确定是否有任何灵丹妙药,只要有创意 :) 有一个自制的解决方案可能会让你的机会更好,因为没有已知的漏洞。
于 2011-03-17T09:17:57.097 回答