每年都市有人细数微信的罪状,其中一条必被提及的就是 PC 端永远只能扫码登录,对比其他软件账号可以用密码登录并不方便。 网络宁静公司 Hive Systems 近日宣布了其 2025 年密码表,年表显示,如果黑客拥有一张前段时间刚宣布的 RTX 5090 的话,他们破解一个8位纯数字的密码只需要 3个小时。 但是表格里的另一个趋势,照旧引起了托尼的担忧 —— 同样是8位纯数字的密码,用4090 破解还需要 4 个小时,而用 5090 的话就能快一个小时? 这还不只是托尼自己有过这样的想法,1976 年,惠特菲尔德?迪菲(Whitfield Diffie)和马丁?赫尔曼(Martin Hellman)在提出公钥加密理论时指出:“密码学的宁静性依赖于盘算庞大性,而算力的指数级增长可能颠覆这一基础”。 也就是说平台生存的密码不是密码自己,而是密码对应的是以哈希值,这样做主要是防止有黑客攻破了服务器的宁静防线之后,直接就能拿到用户的账号密码。 而且哈希值是不行逆的,因为用差异哈希值盘算软件获得的哈希值也有可能纷歧样,所以纵然黑客真的攻破了服务器,拿到了哈希值,也没法直接知道密码。除非黑客能同时破解哈希值的加密算法。 所以,黑客想要进一步的话,也没有更好的法子,只能实验去列出你键盘上所有字符的组合,然后对它们进行哈希运算,直到找到跟服务器偷来的哈希值一样的组合。 而显卡在整个历程中发挥的作用,更多的照旧加速差异字母和数字组合的哈希值盘算,让黑客能够尽快得出哈希值跟正确密码匹配的字符组合。 智慧的差友们应该就要问了,既然是这样,我多整几个字符组合,既有大写又有小写还带个标点符号不就得了,这样黑客就得多试几个组合。 虽然啦,光靠这样的方式也照旧不够的,因为理论上,纵然加了更多的字母和符号密码,本质上都只是一堆字符组合,依旧能被暴力算出来,只是时间和算力的问题而已。 图片来源:代码讲故事 - 《项目实战详细解说带有条件响应的 SQL 盲注、MFA绕过技术、MFA绕过技术、2FA绕过和技巧、CSRF绕过、如何寻找NFT市场中的XSS漏洞》 顾名思义,多因素认证的意思,就是在账号密码的基础上,引入此外认证机制实现登录,各人比力熟悉的指纹识别登录和面部登录,另有扫码验证这些都属于多因素认证。 短信验证码的技术原理各人应该比我还清楚了,实际上就是服务器给用户发一个临时性的密钥,等用户输入之后再拿来跟刚刚发出去的对比,对上了就说明 “ 他是对的人 ”。 利来w66(中国区)国际最老牌开头提的扫码实现思路也有相似之处,细究起来,实际上是将用户的手机账号当成了开锁钥匙,默认用户能够进入手机拿到验证码,能够扫码,就说明用户已经通过了PIN、指纹或面部识别验证,基本就可以确保是在机主本人操作。 相比之下,指纹识别跟面部识此外这种生物特征认证方式会越发庞大一点,各人感兴趣的话以后有时机可以单开一篇带各人的温习一下这两种认证方式,是怎么保证宁静登录的。 不管是哪一种多因素认证方式,他们的焦点逻辑都大差不差,那就是给账号再上一道锁,让用户在登录时除了输密码这种 “ 知道的工具 ” 之外,还得再验证 “ 拥有的工具 ” 。 这样就大大地提高了黑客破解的门槛,手机号接收验证码、面部另有指纹这些,可不像一串密码一样,光靠几张显卡硬算就能算出来的。 早在2020年,微软的工程师RSA宁静聚会会议上提到过,多因素认证可以反抗掉绝大多数的自动化账户攻击,他们每个月追踪的被攻击账户中,99.9% 都没有使用多因素身份验证。 一家名叫 JumpCloud 的公司,在它的《2024年IT趋势陈诉》声称,83%的组织对某些IT资源接纳基于密码的身份验证方式的同时,还要求使用多因素身份验证,另外凌驾三分之二(66%)的组织要求使用生物识别技术。 一个叫 Beyond Identity 的网站就列举了十大绕过多因素身份验证的经典案例,众多多因素认证方案翻车的平台里,不乏有微软、Uber 这样的全球性大平台。
