个人以为,破解密码的方法主要有四种:
1)暴力破解(我很笨,但坚持下去我肯定能成功)
简单来说就是一个一个密码试过去,只要密码字典足够大,破解时间足够长,总会破解出来。在没有针对性的情况下,这是一种耗时耗力的笨方法。举个例子,比如你要做100道选择题,每个选择题有3个选项。运气比较差的情况下,你需要尝试到第300次,才可以破解密码。
那么,我们有没有方法去试图降低这种穷举法的难度呢?
答案是有的,而这种方法是——破解密码前期,进行相关的信息收集,利用相关消息创建一个有针对性的字典。
这种关键信息包括什么呢?你可以稍微回想一下你自己设置密码的习惯。
通常来说,身份证号、出身日期、姓名、邮箱等信息后,往往会出现在我们的密码中。当我们如果想要登录一个管理员后台的时候,如果我们能够获知以上关键信息,利用字典生成器生成有针对性的爆破字典,破解难度会显著下降。就类似于,100道选择题,通过你的前期努力,你已经排除了某些选项,就算运气再差,你也只需要200次就可以全对一次。
当然,如果你没法获得关键信息,也可以尝试使用普适的弱口令字典,如123456、admin等组成,试试运气。万一见鬼了呢?对吧。
那我们什么情况下适合尝试暴力破解呢?
①密码长度通常较短,如wifi、word、rar密码等。
②不限制错误登录次数的登录页面,如没做限制的管理员登录页面等。
2)撞库法(谁叫你都设置一个密码)
这个方法简单来说,就是从黑客从其他渠道了解到你在某些平台上的账号密码,然后用该账号密码登录其他平台,看看你是不是也是用了这个密码。打个比方,你有两个密码箱,你习惯性的设置成同一个密码,当你打开一个密码箱的时候,被人看到了你输密码的过程,那么你的另一个密码箱是否还安全呢?
那为什么叫做撞库法呢?按我的理解,因为实际上,我们的账号密码都存储在一个叫做数据库的地方,如果这个数据库被人窃取了,黑客就会用这个数据库里的信息去尝试登陆其他平台,如果登陆成功,那就是两个平台的数据碰巧撞上了。顾名思义,撞库法。
3)统计分析攻击(让我用脑子统计统计)
分析明文、密文的统计规律来破译密码。
比如说你对截获的密文进行分析,也对明文进行分析,将两者的统计规律进行比较,从中提取出明文与密文的对应变换关系。
当我们有机会同时获知明文、明文的情况下,可以进行统计分析。(难度较高,需要专业知识支撑)
4)数学分析攻击(看我找到你的特征了吧)
攻击者针对加密算法的数学基础或者密码学知识,通过数学求解的方式来破译密码。
当我们获知密文的内容,发现有某种加密算法的特征的时候,我们可以针对性求解。
现在有些密码会进行特定的编码,现在有许多在线解密工具,我们了解相应编码的特征,在线求解即可。
在此,列举出一些编码方式的特点和实例供大家参考:
以上观点,仅供参考~
