问题标签 [brute-force]

请耐心等待，我只学习 PHP 几个星期，所以示例代码可能会让我感到困惑。我想我终于明白加盐了！这是为了保护数据库内部的密码，如果被破坏。

我不明白的是，如果黑客试图找出用户的密码（假设这是他们的目标），为什么还要破解哈希？这不是更容易吗？密码猜测的唯一防御措施是每天限制输入密码 X 次还是 CAPTCHA？

数据库如何首先被黑客入侵？是更多的密码猜测还是可以通过MySQL注入获得哈希？

谢谢！

如果发现在其中放置任何数字 1-9 的单元格将是非法移动，则解决数独难题的蛮力算法的实现将失败。

实现是用 C 语言编写的，电路板由 9x9 数组表示。求解器从 9 开始倒计时，直到达到合法数字，如果无法达到，它会在其位置输出零。

零也表示要填充的单元格。如果输入一串零（空板），则为输出（截断）：

最后三个零在那里，因为之前填写的值没有改变。我怎样才能阻止求解器像这样失败？

我刚刚读到一篇文章，说 7 个字符的密码不再安全。但是，如果服务器在每次登录尝试后增加重试登录尝试的时间，那么暴力攻击就没有用了。你如何在 asp.net 中创建这样的逻辑？不知何故，我猜服务器端代码需要记住尝试登录的 ip 地址，并且应该增加每次新尝试的响应时间？

愚蠢的老我的另一个简单问题。

我们不断听到大量数字被抛出，例如关键：

任何人都需要 200 亿年才能破解。

有人能解释一下你是怎么知道你什么时候破解的吗？如果你排列了一万亿个组合，你怎么知道你是否通过了正确的组合？当然，您必须在无法如此快速地处理这么多请求的实时系统上对其进行测试，并且半脑筋的系统管理员会注意到攻击。

我经常看到“破解关键############”的比赛，你怎么知道什么时候有解决方案？你神奇地遇到了英文短语“ Ha you wont find me!”之类的吗？

我错过了什么？

几周后，我将为我的计算机和信息安全课程做一个安全演示，在这个演示中，我将展示不同攻击（字典、彩虹和蛮力）的优缺点。我可以很好地执行字典和彩虹攻击，但我需要即时生成蛮力攻击。我需要找到一种算法，让我可以循环遍历字母、符号和数字的每个组合，直到达到一定的字符长度。

例如，对于 12 的字符长度，第一代和最后几代将是：

但它也会使用数字和符号，所以我很难解释……但我想你明白了。只使用 ASCII 表中的符号就可以了。

我可以用一个 ASCII 函数来用一个计数器来做这件事，但我就是无法在脑海中解决它。如果有人可以提供一些源代码（我可能会使用 C#）甚至是一些伪代码，我可以从中编写一个函数，那就太好了。

先感谢您。:)

我在描述用于查找二进制数据的最大矩形区域的算法时遇到问题，其中 1 出现的频率比 0 多 k 倍。数据总是这样的 n^2 位：

例如，n = 4 的数据如下所示：

1 0 1 0
0 0 1 1
0 1 1 1
1 1 0 1

k 的值可以是 1 .. j（k = 1 表示 0 和 1 的数量相等）。

对于上述数据示例和 k = 1 的解决方案是：

1 0 1 0 <- 4 x '0' 和 4 x '1'
0 0 1 1
0 1 1 1
1 1 0 1

但在这个例子中：
1 1 1 0
0 1 0 0
0 0 0 0
0 1 1 1

解决方案是：
1 1 1 0
0 1 0 0
0 0 0 0
0 1 1 1

我尝试了一些蛮力算法，但是对于 n > 20，它变得太慢了。你能告诉我应该如何解决这个问题吗？

正如 RBerteig 所提出的 - 问题也可以这样描述：“在一个给定的正方形位图中，通过某个任意过程将单元格设置为 1 或 0，找到 1 和 0 以指定比率 k 出现的最大矩形区域。”

一位朋友给了我一个挑战：他使用 PHP 的 crypt 函数 (CRYPT_STD_DES)（来自 PHP4）加密了一个字符串。我知道用于加密的盐，并且由于 crypt 是一种单向算法，我必须使用蛮力方法，而且我知道密码仅由小写字母组成。

现在，我有 16 核（2x Xeon）和大量 RAM 的机器。什么是实现这种强制攻击的最有效方法（我假设我必须使用 PHP，这不太好，但如果你们有任何想法......）

[编辑]

我忘了说，加密的表示是 13 个字符长度，字符串少于 8 个字母，就像一个简单的密码加密 :)

我注意到我的 Drupal 网站上有一些奇怪的行为。我喜欢在采取行动之前了解我正在查看的数据，这样我就不会浪费时间采取错误的措施，但我缺乏安全知识来解释。

一个帐户发出了许多奇怪的重复请求，包括尝试访问编辑个人资料页面、登录（成功 - 有人注意到几天前该帐户有 250 个活动会话）以及大量密码请求。该帐户没有管理员权限，任何人都可以注册帐户。

编辑： Drupal 版本是 6.17。

我对正在发生的事情的最佳猜测如下：

(1) Joe Evil-doer 使用多个重置密码请求作为 DOS 攻击（它正在工作：<）

(2) Joe Evil-doer 正试图以某种方式从他的重复请求中建立一个可能的密码字典（我看不出这种方法可行）。

(3) 我是一堆交易失败并多次尝试重新提交的受害者。

还有其他场景吗？这是否与常见的 Drupal 漏洞匹配？

这是数据。我对数据库中的 accesslog 表运行了以下查询：

结果如下（用户 ID 和页面名称已清理，ofc）。每列中的 Count(*) 应指示每个操作收到的请求数。

我目前正在试验公钥和个人文件加密。我使用的程序分别具有 2048 位 RSA 和 256 位 AES 级加密。作为这个东西的新手（我现在只是一个密码朋克大约一个月 - 并且对信息系统有点陌生）我不熟悉 RSA 算法，但这与这里无关。

我知道，除非某个秘密实验室或 NSA 程序碰巧拥有一台量子计算机，否则目前不可能暴力破解这些程序提供的安全级别，但我想知道加密文件会更安全吗？再次。

简而言之，我想知道的是：

1. 当我使用 256 位 AES 加密文件，然后再次加密已经加密的文件（再次使用 256）时，我现在是否拥有相当于 512 位 AES 的安全性？这几乎是一个问题，即蛮力方法可能必须测试的可能键的数量是2 x 2 的 256 次方还是 2 的 256次方。悲观的是，我认为是前者，但我想知道 512-AES 是否真的可以通过简单地用 256-AES 加密两次来实现？
2. 一旦一个文件被多次加密，以至于您必须继续使用不同的密钥或在每一级加密时不断输入密码，有人**会认出他们是否已经通过了第一级加密吗？我在想也许——如果一个文件需要几个不同的密码进行多次加密——破解者将无法知道他们是否已经突破了第一级加密，因为他们所拥有的仍然是加密的文件。

这是一个例子：

• 解密文件
• DKE$jptid UiWe
• oxfialehv u%uk

假装最后一个序列是破解者必须使用的 - 以暴力方式返回原始文件，他们必须得到的结果（在通过下一级加密破解之前）仍然会出现一旦他们突破了第一级加密，就成为一个完全无用的文件（第二行）。这是否意味着任何尝试使用暴力破解的人都无法返回原始文件，因为他们可能除了加密文件之外什么都看不到？

这些基本上是处理同一件事的两个问题：一遍又一遍地加密同一个文件的效果。我已经在网上搜索以了解重复加密对确保文件安全有什么影响，但除了在某处读到第一个问题的答案是否定的轶事之外，我没有发现任何与同一主题的第二次旋转有关的内容. 我对最后一个问题特别好奇。

**假设他们以某种方式暴力破解弱密码 - 因为如果您知道如何制作安全密码，这似乎是 256-AES 现在的技术可能性......

我希望用户输入一个 4 位数字，程序必须告诉那个 4 位数字是什么，即通过蛮力攻击生成那个 4 位数字。但是在下面提到的行中，编译器说无效间接。我也想有关于我实施它的方式的一些评论，这是一个好习惯吗？