嚇人！僅花20小時18美圓，可瞬間破譯1100萬個密碼

事情是這樣發生的。

在某個陽光明媚的下午，熱心市民劉先生正吃着火鍋唱着歌，「叮~」，手機忽然收到一條短信。覺得是系統短信的他，起期初絕不在乎，誰知隨後一連串的叮叮聲根本停不下來。

劉先生拿起手機一看，一臉懵逼，立即上頭。

本身的Apple store 內購忽然多了20多條帳單記錄，都是購買王者農藥的點券消費，加起來有個小三千。

不對啊，家裏也沒熊孩子啊。

慌亂中問及度娘：親親，您的Apple ID綁定了支付寶的免密支付，AppleID可能被盜刷了哦~致電蘋果和支付寶客服，一場維權拉鋸戰正式開始。

移動互聯網時代，人們以一串字符爲密碼，將本身的信息、祕密、金錢都託管到了網絡。

人們設置密碼來保護網絡中的一切：從電子郵箱到銀行帳戶再到加密交易帳戶。大部分人對密碼的定位只是一串能夠login in的字符，因此怎麼好記怎麼來。早些時候12345678走天下，後來迫於系統要求，才靈機一動設了個姓名首拼+生日。

圖片來源：unsplash.com/@cmdrshane

可能大部分人都沒有意識到設置密碼不走心的嚴重性，直到熱心市民劉先生現身說法。目前不法分子竊取蘋果帳號的主要方式仍是「撞庫」和釣魚網站。

出於對密碼破解的單純興趣或者其餘鮮爲人知的緣由，有大量研究複雜密碼破解算法的論文，這些算法利用極爲複雜的機率和機器學習技術，可以破譯90%以上的密碼。

儘管現在許多平臺使用雙重驗證系統（2FA），但該系統並未被大範圍或強制推廣，絕大部分平臺仍不支持2FA。甚至大部分「心大」市民，徹底沒有要啓用雙重驗證的意識。

破解密碼的算法強大到細思恐極，然而普羅大衆仍是樂呵呵置身事外，「有多少普通人可以使用這些算法呢？爲何***就必定會***我？」

是時候揭祕，破解一個密碼有多簡單了！

背景簡介：存儲密碼

使用密碼登陸應用程序時，所需步驟順序以下：

1. 用戶輸入密碼（傳送密碼並進行驗證）

2. 所輸入的密碼與記錄密碼進行比對

3. 若是兩者相同，用戶可繼續訪問應用

然而，密碼傳送和存儲的安全性堪憂。爲了保障安全，許多系統將用戶密碼的散列儲存在數據庫中，而不是密碼自己。密碼散列自己是不可逆雜亂密碼；若是***獲取了密碼散列，沒法反推密碼。

在此類加密系統中，密碼登陸的步驟順序以下：

1. 用戶輸入密碼

2. 本地計算散列（密碼）並進行傳送

3. 對比記錄的散列

4. 若是兩者相同，用戶可繼續訪問應用

背景簡介II：暴力破解散列

對於使用散列的加密系統，若是******密碼數據庫，他們仍沒法獲取用戶密碼。因爲***沒法經過密碼散列反推密碼，他們進行如下操做：

1. 任意猜一個密碼

2. 計算該密碼加密文件

3. 對比實際散列

4. 重複上述步驟，直到猜中密碼

這聽起來是一個浩大的工程，但若是使用機器，可同時做出1000個猜想。在無數的可能性中隨機找到真正的密碼就不費吹灰之力了。

***

軟件

破解密碼通常會用Hashcat軟件，這是一個先進的密碼還原工具，被稱爲「世界上最快速的密碼破解器」。

Hashcat是一個開源工具，其官網提供可供下載的數據源和二進制文件，維基百科上也有對此工具的詳細講解。只要堅守想當「***」的一腔熱情，很快能夠學會Hashcat。

硬件

能夠用Nvidia Tesla K80運行Hashcat——這是一個擁有4992個內核的GPU，在亞馬遜雲上能夠租用，價格喜人，只需0.9美圓/時。

與普通的手提電腦相比，K80的運行速度比普通因特爾圖形處理器快16倍。K80每秒可計算8億個SHA-256加密文件，也就是幾乎每小時3萬億個。

Unbelievable。

密碼

這只是一個實驗，固然不可能用真正的帳號密碼啦。網絡平臺上有超過1400萬個公開的密碼集。對其再次進行虛擬破解有助於提升我的密碼安全意識，防範真實密碼破譯***。在開始實驗前，已經抹掉了這份已泄漏文件中全部的我的身份信息。

***邏輯

經過Hashcat能夠暴力破解密碼（即對特定長度的密碼進行無限嘗試），也能夠進行更爲複雜的***。衆所周知，大多數人會基於一個單詞來設置密碼，形式各有不一樣：

· 僅僅是一個單詞（可能字母大小寫不一樣）——Password

· 單詞加數字/符號後綴——monkey! 或 Coffee12

· 單詞、數字、符號混合使用的「火星文」—— p4ssw0rd o或f4c3b00k

· 多個單詞鏈接——isthissecure

巧的是若是上傳一份單詞列表文件，Hashcat內置的多種模式會進行以下猜想：

· 單詞

· 單詞加任何數字/符號後綴

· 有特定規律的單詞（如把全部「o」替換成「0」）

· 任何單詞組合

所以，能夠下載了一份包含幾百萬英語單詞詞典文件以進行***。

此時，***範圍就能夠更爲普遍，同時也能選定Hashcat應該嘗試的「面具」。無需再使用Hashcat嘗試有7萬億個組合的「全部長度爲8的密碼」——有——只需嘗試「6個小寫字母加2個數字」的密碼。

那麼***結果如何呢？

實話說…***結果遠比想象中好，簡直成功得駭人……

· 2小時內：48%的密碼被破解

· 8小時內：幾乎70%的密碼被破解

· 20小時內：超過80%的密碼被破解

總結一下：20個小時。每小時0.9美圓。總計18美圓。1400萬個密碼中80%被破解。

對於這個結果，各位再消化一下子…

這太嚇人了。你們必定要提升本身密碼的安全性。僅僅把「o」替換成「0」或把「e」替換成「3」還不夠。加上數字和符號後綴也不足以抵抗***。這些模式都是能夠被預測的。

人們正是遵循了某些可預測的規則才致使密碼輕易破解。最科學的辦法是把密碼交給管理器，好比LastPass 或 1Password等。

不過若是你的腦回路足夠優秀，也能夠嘗試把密碼改爲圓周率後六位嘻嘻嘻（手動狗頭）。這樣別說是***，全世界都沒有人知道你的密碼啦。

留言 點贊 發個朋友圈

咱們一塊兒分享AI學習與發展的乾貨

編譯組：張雨姝、楊敏迎
相關連接：
https://hackernoon.com/20-hours-18-and-11-million-passwords-cracked-c4513f61fdb1

如需轉載，請後臺留言，遵照轉載規範

推薦文章閱讀

ACL2018論文集50篇解讀
EMNLP2017論文集28篇論文解讀
2018年AI三大頂會中國學術成果全連接
ACL2017 論文集：34篇解讀乾貨全在這裏
10篇AAAI2017經典論文回顧

長按識別二維碼可添加關注

讀芯君愛你