问下IT达人

现在很多网站登录都要用验证码，有时候看不清O和0还要重输。
最近才反应过来，可能是因为前段时间很多网站的用户密码泄密事件。


想问下，是不是这个原因？
另外，黑客盗取密码的方法是不断尝试用户名和密码的组合么？
还是先从论坛发帖获取用户名，然后尝试密码？
或者压根就不用那么低端的方法。

版权声明

1、转载或引用本网站内容须注明原网址，并标明本网站网址(www.gerfans.cn)。

2、转载或引用本网站中的署名文章，请按规定向原作者支付稿酬。

3、对于不当转载或引用本网站内容而引起的民事纷争、行政处理或其他损失，本网站不承担责任。

4、对不遵守本声明或其他违法、恶意使用本网站内容者，本网站保留追究其法律责任的权利。

本文地址: https://bbs.gerfans.cn/thread-206359-1-1.html

如果没有验证码  可以使用工程学破解法  跟 暴力破解法 循环试用密码盗号
有验证码 过程上 技术上就要繁琐很多

但是实话 没有黑客破解不了的密码
不是白宫都被入侵过

关键是值得不值得的问题 因为破解密码也需要人力物力

这都是粗浅的东西，对盗号这东西没有深入研究过

‘㈤.s魂丶 发表于 2012-7-23 19:29

                               
登录/注册后可看大图

如果没有验证码  可以使用工程学破解法  跟 暴力破解法 循环试用密码盗号
有验证码 过程上 技术上就要繁琐 ...

好厉害啊。学习了

‘㈤.s魂丶 发表于 2012-7-23 19:29

                               
登录/注册后可看大图

如果没有验证码  可以使用工程学破解法  跟 暴力破解法 循环试用密码盗号
有验证码 过程上 技术上就要繁琐 ...

除了验证码，应该有些更方便的解决办法吧？
比如设定密码重新设定次数，封不断重复尝试的IP。
为啥被攻击的网站用这种浪费用户时间的方法？

hancegaint 发表于 2012-7-23 19:49

                               
登录/注册后可看大图

除了验证码，应该有些更方便的解决办法吧？
比如设定密码重新设定次数，封不断重复尝试的IP。
为啥被攻 ...

验证码那是第一道关口

至于限制输入密码次数 这种基本上大部分的网站也有，这属于第二道防线了！

第一道防线都没的话！ 限制次数意义不大   因为这个次数一般每天或几小时内 5-10次吧！
有心的盗号者 可在你不察觉的情况下一个时段内 试5-10次  而且是用工具的完全不怎么费劲

在有验证码的情况下 这种破解难度更大

还有验证码好像也是对一些使用马甲刷帖的人的一种限制
有些网络水军 使用软件登陆帐号刷帖  有验证码的话 登陆上要困难些了！

‘㈤.s魂丶 发表于 2012-7-23 13:01

                               
登录/注册后可看大图

验证码那是第一道关口

至于限制输入密码次数 这种基本上大部分的网站也有，这属于第二道防线了！

要不向Facebook那样，每次你输错密码都给你的邮箱发封邮件。

bayern999 发表于 2012-7-23 21:19

                               
登录/注册后可看大图

要不向Facebook那样，每次你输错密码都给你的邮箱发封邮件。

嗯 不过看邮件 需要培养习惯！ 很多初级网民几乎不管邮件

邮件系统 不干净的东西  钓鱼盗号的  黄色宣传的  推销广告的
太多太多 也是很多人不喜欢看邮件的一个原因

这种属于另类手段了 特别的产品适用  但是论坛这种大众化的 实现这种方式比较困难
而且也要考虑论坛服务器的吞吐量的问题   在后台发邮件 应该也有消耗的
如果有人恶意搞几百上千个号同时登陆打错密码 那服务器会不会出现当机崩溃情况？ 这是一个弊病

一般来说，获取论坛账号密码的特征都是设定一个字典，比如从00000000——ZZZZZZZZ这样简单的，然后利用论坛登录接口的程序漏洞绕过验证，用一个批处理程序反复尝试匹配，一次性获得大量的论坛的账号密码。
但是这是个辛苦活，真正意义上来说，hacker盗取一个特定终端下的特定程序下某些安全机制很高的账号密码，会采取更聪明的方式。比如采用抓包的方式：攻破Client——Server中的某个通道环节，一旦client请求登录服务器时，Hacker会监听这个通道中所有通讯的封装包，进行分析，从而直接获得client输入的账号密码。（现如今例如SSL都是尝试加密Client与Server之间的数据包通讯，就算Hacker截取了数据包，也很难分析这些数据包里的实际内容。）

krauser 发表于 2012-7-24 05:19
一般来说，获取论坛账号密码的特征都是设定一个字典，比如从00000000——ZZZZZZZZ这样简单的，然后利用论坛 ...

如果我不保存cookies，是不是能够避免帐号密码被盗？

Lahm04 发表于 2012-7-24 06:09

                               
登录/注册后可看大图

如果我不保存cookies，是不是能够避免帐号密码被盗？

只能在一定程度上防止本地风险，因为不论怎样，你必须有“从client提交你的账户信息给服务器验证”这个过程。

Current cryptosystem are all based on computational complexity secrecy. The information theoretical secrecy I'm now working on is perfect secrecy; no one can crack it. To be concrete, the keys are generated on the fly based on common randomness which is perfectly unknown to eavesdropper, so you do not need to input any password to start communication.

‘㈤.s魂丶 发表于 2012-7-23 14:32

                               
登录/注册后可看大图

嗯 不过看邮件 需要培养习惯！ 很多初级网民几乎不管邮件

邮件系统 不干净的东西  钓鱼盗号的  黄色宣 ...

你用过Gmail就知道了，关键是邮件的过滤系统和速度。另外现在手机都能随时随地收邮件了，应该也不是什么很困难的事情吧！不过论坛的容量确实是一个问题，除非是财大气粗的大公司，不然一下子就用完了。

Lahm04 发表于 2012-7-23 23:09

                               
登录/注册后可看大图

如果我不保存cookies，是不是能够避免帐号密码被盗？

哈哈，想什么呢，所有的键盘操作都能被记录。。。

‘㈤.s魂丶 发表于 2012-7-23 20:01

                               
登录/注册后可看大图

验证码那是第一道关口

至于限制输入密码次数 这种基本上大部分的网站也有，这属于第二道防线了！

前段时间看过，说是国内的网站要想建立不容易被黑客入侵的形式，至少要投入几百万元。

我想设置第一道防线对用户还是很不人性的，毕竟增加了用户登录的程序。
而兴许网站想省钱才用了这法子。否则总有别的高端方法来节约用户时间。


另外，我当年学密码学时，记得通过最新的某种加密技术连后台都无法轻松破解用户的密码了。
那黑客截获数据包破解这种方法是不是仅限于未加密的网站？
当年有个师姐搞了个个人论坛，就跟我说黑客没法盗包破解。
记得有如此一说。

zhou_heng 发表于 2012-7-24 07:33

                               
登录/注册后可看大图

Current cryptosystem are all based on computational complexity secrecy. The information theoretical  ...

那你怎么验证用户ID的合法性呢？