安全密码的设想

nogood

GeeGee: Re:安全密码的设想

楼上的……=.=

请你来解释解释程序如何从一个花里胡哨的图片上分辨出一串字符

如果谁能解决这问题，那...

==================================
嘿嘿,我就想了，木马 还不能自动 OCR 到 100% 只要有一个地方错，密码就不对了哦！！！！！！！！！！！！

MathSlope

GeeGee: Re: Re:安全密码的设想


今天休息，可以详细的说一下
假如说你的密码是ABCDEF，共6位，然后服务器生成16位序号为9183ebd26450ac7...

密码在数据库一般也是用的加密串存储，不然员工不是可以得知所有人的密码？当然也有些地方直接存的密码信息，相对这些地方则本身就安全性不行，还谈什么加密呢，因为在client辛苦加密时，server端A员工可以透析所有人的密码....
另外，geegee所说的，6位重排产生的密钥也会重排，我在上面说过了，用这种算法加密出来的，根本不可能是不可逆算法，为什么？因为如果密码的组合和加密后的串的组合是一致变换的话，那我输入每一个原字符就会得到一个小串是加密后的串，而且在两个字符的组合中也只是一个字符加密串的组合，是可逆的。
另：md5算法产生的串不是16位的，请看看加密的书，md5是产生一个128位的串.......
这里的讨论没太大意义，请各位先研究下加密的历史、算法、bug.再说吧

GeeGee

楼上根本就没看明白我说的是什么啊。。。如果你对此感兴趣的话请认真阅读，如果不感兴趣的话干脆不要发表评论，你认为我会犯这么愚蠢的错误么？

MathSlope

md5算法只能产生128位的串.
不可逆算法产生的算法不可逆，不可组合
密码在数据库存储的是加密后的串，不能还原成原字串

MathSlope

以下不做评论了
不懂不要装懂
谢谢

nogood

...........................................................................

有这么多人来  PP 了，不错...欢迎多多想法！！！！！

GeeGee

这么说你是认真看过了？那么我只能怀疑你的语文水平了……
我根本就没提过要让md5算法可逆
我所说的一切的一切都是在md5加密之前完成的

pig_face55

GeeGee: Re:安全密码的设想

偶说的就是把图片和键盘发到某地址.............不用打包也可以

虽说有点傻，但是的确可以得到密码啊，你说对不？

要是做木马的那个是个变态呢？？？

专门偷人银行帐号的木马呢？？人来看一下也合算的吧？

而且这个我自己做了个，果然不行哎，密码根本记不住～～～所以我是把密码全部开一个ＴＥＸＴ文本打出来，然后一一对照输了半天才做出来的，这个这么不方便，而安全性也只提高了一小点．所以，我估计还是不太实际哦，不过这种创新的精神我非常佩服哦．

还有，我谈一谈可逆算法的问题．我懂得不多，只是发表一下个人观点，我觉得要是只取其中几位的话再进不可逆变换肯定是面目全非了，但是如果是每一位进行一个不可逆变换的话，那就应该是可以对应起来的了，大家说是吧？其实我觉得没那么复杂，Ｎ次方就可了．

GeeGee

pig_face55: Re: Re:安全密码的设想



偶说的就是把图片和键盘发到某地址.............不用打包也可以

虽说有点傻，但是的确可以得到密码啊...

可是他如何获得那个图片呢？最大可能的就是在你输入完密码按下登陆键的时候触发，这样的话很好解决啊，到时候不显示就行了……

Leyes

楼主的方案造成的无法避免的后果就是麻烦
而且很多人的修正都是在进一步增加其复杂度的
现在首先要考虑的就是盗取者获取该密码的途径：
1。暴力破解：应对该方法的第一解决方法就是造成无法多次尝试的局面。很多网站使用的登陆时输入密码和验证码的方式已严重打击了暴力破解；
2。键盘捕获：这是很多木马的做法。破解它也很简单，有些游戏输入密码时已经加入了使用软键盘的提示，而我们也可以使用另一种做法：例如对于最大12位的密码，设置12个下拉条目，每一个中可以让用户选取所有合法字符；
3。网络捕获：这个是本文讨论的核心，其关键在于用户输入的最终内容是不可重现的。解决这一问题的方式也可以用一个更简单的方式如下：用户每一次请求输入密码页面时，客户端保留页面显示时间的某个可逆转换结果作为密钥，利用该密钥做不可逆加密并将密钥和加密结果一起送入服务器检验，服务器首先检验该密钥的对应时间是否超时。如是，该密钥不可被复用，复用将返回密钥超时错误，则网络捕获到的结果不可复用。