暴力计算:
大部分unix都是8位密码,除了变态的大坝,通常字母加数字就可以达到90%以上的要求,那么58^8=1.28*10^14 如果1秒钟计算个几十万个密码(大部分pc都可以),那么如果有/etc/security/passwd文件,大约4年就够了(有点长。。。)不过如果多CPU,多台机器,考虑到概率,是可以做到比较短的时间完成的。另外据说一些无聊的人做了个大密文数据库,只要反向比对,一次操作就可以hash出来,但是数据库需要:16M TB的空间,只能保存若干了重要部分,或者分布于internet上的若干计算机里了。
但如果不知道秘文,就比较麻烦,用系统的函数调用,通常是每秒几百次的最高速度,纯粹暴力是不可能的,只好用字典,什么生辰八字,电话号码,系列号。。。但变态的人用菲字母、数字符号,就很麻烦了,这就是技巧。到现在,我见到的最好记,又最安全的密码是记一行唐诗,正好言绝句,把拼音写下来,挑选每个字拼音的第一个字母(或者第二个,第三个),凑出来7个字母,当然也可以第一个字的第一个字母,第二个的第二个,如此循环。中间最后再插个数字或者扩展字符,也足够强度了。
漏洞:
很多人都在讨论,很多网站都在研究,不过通常都是缓冲区溢出,总之就是给他一个无法处理的东西,不过在实验的时候,很容易导致程序死掉,出现software dump,看log就被发现了
社会工程学:
说简单了,就是骗子。
陷阱:
也类似骗子,但不是人骗,是用计算机骗,伪造一个假的命令、界面,等待别人去上钩。自己目录下的su, ls, df之类的文件都是这样的。
监听:
sniffer, tcpdump之类的工具在hub时代,再简单不过了。但现在很多switch,越来越不好用,只能研究本机,可惜权限不够。。。据说现在又网络钳子,把八股线拆开了,就可以还原出数据。 |