November
3rd
2009

Cracking Password in the Cloud

信息安全 没有评论 162次阅读

评分: 很差劲不怎样还可以还不错太棒了
Loading ... Loading ...

cloudpassword

Forget what you’ve learned about password security. A simple pass code with nothing more than lower-case letters may be all you need – provided you use 12 characters. That’s the conclusion of security consultant David Campbell, who calculated the cost of waging a brute-force attack on various types of passwords using cloud computing services offered by Amazon.

Based on hourly fees Amazon charges for its EC2 web service, it would cost more than $1.5m to brute force a 12-character password containing nothing more than lower-case letters a through z. But user beware, an 11-character code costs less than $60,000 to crack, and a 10-letter phrase costs less than $2,300.

使用云计算服务来替代在公司里设立维护大量服务器,显然对节省企业的成本有利。不过现在看来从云计算服务中受惠最大的恐怕是黑客等群体,黑客们开始利用亚马逊EC2等云计算服务来暴力破解并窃取用户信用卡密码。不过据安全专家David Campbell的计算,即便用户不使用安全专家建议的大小写字母混合式的密码组合,使用亚马逊提供的云计算服务进行密码暴力破解的黑客,出于成本过高的原因可能也将无法使用这种服务对具备12位长度的密码进行破解。

目前,亚马逊公司为用户提供一种名为EC2的云计算网络服务,这种服务按小时计费.而如果要利用这种服务来暴力破解长度为12位的密码,黑客需要为此支付150万美元以上金额的服务费。不过如果密码的长度缩短为11位,那么便只需要不到6万美元服务费即可,而10位密码则需要支付不到2300美元的费用。

Unlike


October
15th
2009

UCenter密码算法规则和生成方法

电脑技术 没有评论 200次阅读

评分: 很差劲不怎样还可以还不错太棒了
Loading ... Loading ...

康盛的系列产品,包括Discuz、UCHome、Supesite都集成了统一个用户系统——UCenter,用户登录的密码也保留在 UCenter中,对于其他系统集成或导出数据到UCenter系统,通常会碰到密码生成的题目,这里就讨论一下UCenter的用户密码算法规则和生成方法。

密码通常使用MD5对用户密码HASH后保留在数据库中的方法,假如黑客拿到了这个HASH数值,那么可以采用字典的方式暴力破解,假如这个字典数据库足够大,并且字典比较符合人们的设置习惯的话,那很轻易就能破解常见的密码,因此UCenter采用了salt来防止这种暴力破解,salt是一随机字符串,它与口令连接在一起,再用单向函数对其运算,然后将salt值各单向函数运算的结果存入数据库中。假如可能的salt值的数量足够大的话,它实际上就消除了对常用口令采用的字典式攻击,由于黑客不可能在数据库中存储那么多salt和用户密码组合后的HASH值。

UCenter的创始人密码是保留在文件中的,打开uc下面/data/config.inc.php文件,里面的UC_FOUNDERPW保留的就是密码,而UC_FOUNDERSALT保留的是SALT数值,创始人密码的创建规则是:UC_FOUNDERPW=md5(md5(PASSWORD).UC_FOUNDERSALT),就是先将密码MD5,然后添加salt,然后再次 MD5,产生的HASH数值保留在config.inc.php文件中,因此修改UC_FOUNDERPW里面的数值就可以修改UCenter的创始人密码。

UCenter的用户信息是保留在uc_members表中,在这个表中,每个用户都有一个不同的随机salt字段,表中的password字段为计算后的密码,密码计算规则是$password=md5(md5($password).$salt),也就是将用户的密码MD5后,添加salt,然后再MD5,保留在password字段中。

因此,假如进行不同系统的数据转换,可以根据这个原理,将其他系统的用户名和密码计算后,导入UCenter的uc_members表中,实现用户的迁移。例如,假如原有系统使用的是md5(password)这样的算法保留密码,那就通过程序随机生成salt,然后计算两者累加后的md5,这样就很轻易计算出这个用户在UCenter中的用户密码HASH值,从而实现用户的无缝迁移。

不外,假如原有系统使用的是md5(password+salt)的方式保留的密码,那就无法实现密码的平滑迁移UCenter了,即使迁移,也只能人为将其UCenter的password增加一个salt才能使用,因此,我们在平时设计系统用户密码的时候,应该尽量采用 md5(md5(password)+salt)的方式保留密码,这样才能利便的实现和UCenter的接口,并且保证了安全性,通常对于英文用户名来说,自建系统使用username来做salt是个简便的方法。

Unlike