问题标签 [brute-force]

所以我正在尝试制作一个蛮力字符串生成器来匹配和比较CUDA中的字符串。在我开始尝试弄乱一门语言之前，我不知道我想让一个在 C++ 中工作。我目前有这个代码。

现在这段代码运行和编译，但它并没有完全按照我的意愿去做。它将执行 4 个相同的字符，EX。aaaa 或 1111，然后继续下一个，而不像 aaab 或 1112 那样递增。我试过搞乱这样的事情

在我看来，这应该有效，但无济于事。

我已经实现了一个登录系统，在 3 次不成功的尝试（使用$_SESSION变量）之后，在用户的计算机上创建了一个 cookie，该 cookie 在 10 分钟内过期。现在我知道这肯定是不够的，因为他们可以删除 cookie。现在，我想知道的是，当我实现一个表以通过 IP 和用户名组合捕获不正确的登录时，这个表什么时候被清除？阻塞时间到期后，用户何时成功登录？

假设这个表填充了 1000 个条目，我该如何自动清除它？表的结构是什么？

我建议：
4 个字段： ID、IP、用户名（这将是他们的电子邮件地址）、block_time（用户可以再次登录的时间）？

假设我只有 MD5 哈希的前 16 个字符。如果我使用蛮力攻击或彩虹表或任何其他方法来检索原始密码，我期望有多少兼容的候选人？1？（我不认为）10、100、1000、10^12？即使是粗略的答案也是受欢迎的（对于数字，但请与哈希理论和方法保持一致）。

我不是特别谈论加密，而是整体的安全性。是否可以采取任何安全措施来保护数据和/或系统，甚至可以在假设的时间内承受假设的资源量？

我认为答案是否定的，但我想在向人们大声说出来之前我会仔细检查，因为我不是安全专家。

更新：我应该指出，我不是在问这个，因为我需要实现一些东西。是一种无聊的好奇心。我还应该提到，我可以在这里处理假设。如果有任何相关性，请随意将诸如量子计算之类的东西带入方程式。

我想通过检查登录尝试者的 IP 来防止暴力破解。然而，这对数据库来说将是一个巨大的问题；如果受到攻击，它将超载。还有其他解决方案吗？

服务器端会话？就像是

我不想使用验证码，因为它很烦人。

假设我想为每个用户提供一个唯一的 URL 来登录系统。URL 可能如下所示：http://example.com/login/a1b2c3d5e6

例如，字符串a1b2c3d5e6使用小写英文字母，数字从 0 到 9，包含 10 个字符，因此该长度的字符串有 36^10 种变体。

我应该使用多少个字符来获得一个不错的短哈希字符串，但同时确保几乎不可能暴力破解？我应该使用大写字母吗？

所以，我有一个 PHP 脚本，它接受用户的“密钥”并检查它是否有效。我不希望他们在 3 次尝试失败后能够提交表单。

我有使用 cookie 的想法，但由于它们是客户端，它们可以被刷新，所以它看起来是我脚本的第一次尝试。也使用会话，但因为它们在会话后过期。这很容易绕过。该程序不需要数据库，如果可能，我想避免它。

我还想过需要验证码才能提交表单。那是最好的选择吗？我期待听到您的建议。

我有一堆要解密的加密文件（duh）。经过一番研究，我发现它们是用 Blowfish 使用 224 位密钥加密的。我知道明文的前几个字节是什么样的（它是一种标题）。

注意到我不是 NSA 也没有可笑的计算能力，我有没有机会在合理的时间内暴力破解密钥（例如：不是宇宙的生命）？

我在某处读到有人发布了对成熟 Blowfish 的攻击（没有双关语），将搜索次数减少到 2^(n/2)，但它神秘地消失了。显然这是某种 MITM 攻击；虽然 Blowfish 使用了 16 轮 Feistel 网络，但如果存在，它必须是聪明的。谁能证实这一点？

编辑：我确实可以访问大量使用的密钥，但不是全部。也许更值得我花时间尝试攻击密钥的生成？

使用蛮力的最大子数组问题的运行时/内存复杂度是多少？

它们可以进一步优化吗？尤其是内存复杂度？

谢谢，

我正在 Google App Engine 上制作 Java 网络应用程序。

我是否需要为我的登录系统推出自己的蛮力保护 - 因为我没有为我系统中的用户帐户使用 Google 帐户？

或者是否有一些内置功能可以让它变得更容易，或者不需要我从头开始做所有事情？