夜间模式 切换到宽版

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 419|回复: 20

[科技新闻] 用5090破解密码只要15分钟,那为啥我的号还没被盗?

[复制链接]
  • 打卡等级:功行圆满
  • 打卡总天数:834
发表于 2025-6-10 11:33 | 显示全部楼层 |阅读模式

马上注册,查看更多内容,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?注册

×
1.png


说出来你可能不信,无密码登录账号,有时候真的比密码登录安全。
每年都会有人细数微信的罪状,其中一条必被提及的就是 PC 端永远只能扫码登录,对比其他软件账号可以用密码登录并不方便。
毕竟很多时候,我登录 PC 端微信的原因,就是因为我现在不方便用手机。。。
但是最近有一帮人干了一件贼赛博的事儿,让感觉我们可能错怪微信了。
2.webp


网络安全公司 Hive Systems 近日发布了其 2025 年密码表,年表显示,如果黑客拥有一张前段时间刚发布的 RTX 5090 的话,他们破解一个8位纯数字的密码只需要 3个小时。
而如果黑客们恰好财力雄厚的拥有 12 张 5090 的话,破解的时间能缩短到 15 分钟。
3.webp


也就是说,如果你还在使用8位纯数字当密码的话,理论上黑客只要花不到 20w 人民币就可以在15分钟内拿下你的账号。
虽然好像也不会有人这么闲这么有钱,会拿 12 张 5090 来破解我价值不足 100 块的账号(bushi
但是表格里的另一个趋势,还是引起了托尼的担忧 —— 同样是8位纯数字的密码,用4090 破解还需要 4 个小时,而用 5090 的话就能快一个小时?
我也顺带去查了下去年 Hive Systems 发布的年表,发现这些年来,用显卡破解密码的速度,可以说越来越快了。
4.webp


在惊讶老黄这卡算力恐怖如斯的同时,托尼也忍不住在想 ——
你说现在的显卡啊、处理器啊,一个个算力都这么猛了,是不是我们的账号密码是不是越来越不安全了?
像微信这样跟我们的钱袋子息息相关的软件,是不是出于这样的考量,所以才这么执着于用扫码登录呢?
这还不只是托尼自己有过这样的想法,1976 年,惠特菲尔德・迪菲(Whitfield Diffie)和马丁・赫尔曼(Martin Hellman)在提出公钥加密理论时指出:“密码学的安全性依赖于计算复杂性,而算力的指数级增长可能颠覆这一基础”。
惠特菲尔德・迪菲(Whitfield Diffie)和马丁・赫尔曼(Martin Hellman)
5.webp


不过回到 Hive Systems 这个实验本身,我们可能还要了解一下,所谓的用显卡暴力破解账号密码,到底是怎么一个过程。
其实 Hive Systems ,已经在他们的官网上讲的非常清楚了。
首先各大平台拿到我们的密码之后,并不会以明文的形式存在服务器里。
就好比说,你的密码是 “ password ” ,服务器并不会直接存储这一串字母,而是用一个哈希值计算软件,先加密一遍,变成
5f4dcc3b5aa765d61d8327deb882cf99,然后再存储。

也就是说平台保存的密码不是密码本身,而是密码对应的是以哈希值,这样做主要是防止有黑客攻破了服务器的安全防线之后,直接就能拿到用户的账号密码。
图片来源:天翼云-《实现数据列的加解密》
6.webp


而且哈希值是不可逆的,因为用不同哈希值计算软件得到的哈希值也有可能不一样,所以即使黑客真的攻破了服务器,拿到了哈希值,也没法直接知道密码。除非黑客能同时破解哈希值的加密算法。
相信有这么厉害的黑客,还不如信我是秦始皇。
图片来源:天翼云-《实现数据列的加解密》
7.webp


所以,黑客想要进一步的话,也没有更好的法子,只能尝试去列出你键盘上所有字符的组合,然后对它们进行哈希运算,直到找到跟服务器偷来的哈希值一样的组合。
这个组合很有可能就是正确的密码,黑客这时候才会拿着试出来的这个密码到登陆界面去尝试登录你的账号。
说是黑客,手法好像也没比咱一个个试行李箱密码高明到哪里去啊。
而显卡在整个过程中发挥的作用,更多的还是加快不同字母和数字组合的哈希值计算,让黑客能够尽快得出哈希值跟正确密码匹配的字符组合。
毕竟我们都知道,显卡干别的不行,最擅长的就是进行并行计算,一次性计算多个组合可以说是手拿把掐。
来源:NVIDIA-《在 GPU 上使用大规模并行哈希图实现性能最大化》
8.webp


聪明的差友们应该就要问了,既然是这样,我多整几个字符组合,既有大写又有小写还带个标点符号不就得了,这样黑客就得多试几个组合。
这的确是不错的提高账号密码安全的方式。
当然啦,光靠这样的方式也还是不够的,因为理论上,即使加了更多的字母和符号密码,本质上都只是一堆字符组合,依旧能被暴力算出来,只是时间和算力的问题而已。
所以各大平台,无一例外都在密码的基础上,引入了额外的安验证机制,业内统称为多因素认证(MFA)。
图片来源:代码讲故事 - 《项目实战详细讲解带有条件响应的 SQL 盲注、MFA绕过技术、MFA绕过技术、2FA绕过和技巧、CSRF绕过、如何寻找NFT市场中的XSS漏洞》
9.webp


顾名思义,多因素认证的意思,就是在账号密码的基础上,引入别的认证机制实现登录,大家比较熟悉的指纹识别登录和面部登录,还有扫码验证这些都属于多因素认证。
除此之外还有短信验证码、硬件令牌等等。
短信验证码的技术原理大家应该比我还清楚了,实际上就是服务器给用户发一个临时性的密钥,等用户输入之后再拿来跟刚刚发出去的对比,对上了就说明 “ 他是对的人 ”。
图片来源:bboyzqh-《简析发送手机验证码原理》
10.webp


我们开头提的扫码实现思路也有相似之处,细究起来,实际上是将用户的手机账号当成了开锁钥匙,默认用户能够进入手机拿到验证码,能够扫码,就说明用户已经通过了PIN、指纹或面部识别验证,基本就可以确保是在机主本人操作。
相比之下,指纹识别跟面部识别的这种生物特征认证方式会更加复杂一点,大家感兴趣的话以后有机会可以单开一篇带大家的复习一下这两种认证方式,是怎么保证安全登录的。
图片来源:成都有范-《苹果测试带有屏幕指纹传感器的iPhone,或与面部识别共存》
11.webp


不管是哪一种多因素认证方式,他们的核心逻辑都大差不差,那就是给账号再上一道锁,让用户在登录时除了输密码这种 “ 知道的东西 ” 之外,还得再验证 “ 拥有的东西 ” 。
这样就大大地提高了黑客破解的门槛,手机号接收验证码、面部还有指纹这些,可不像一串密码一样,光靠几张显卡硬算就能算出来的。
早在2020年,微软的工程师RSA安全会议上提到过,多因素认证可以抵挡掉绝大多数的自动化账户攻击,他们每个月追踪的被攻击账户中,99.9% 都没有使用多因素身份验证。
图片来源:站长之家-《微软:99.9%的被黑账户没有使用多因素身份认证》
12.webp


不用四舍五入都可以说是被攻击全因为用户依旧执着只用密码认证,没用多因素认证。
而在企业应用领域,多因素认证的作用就更大了。
一家名叫 JumpCloud 的公司,在它的《2024年IT趋势报告》声称,83%的组织对某些IT资源采用基于密码的身份验证方式的同时,还要求使用多因素身份验证,另外超过三分之二(66%)的组织要求使用生物识别技术。
来源:jumpcloud- < 2025 Multi-Factor Authentication (MFA) Statistics & Trends to Know >
13.webp


然而这并不代表着,多因素验证就是牢不可破的。
一个叫 Beyond Identity 的网站就列举了十大绕过多因素身份验证的经典案例,众多多因素认证方案翻车的平台里,不乏有微软、Uber 这样的全球性大平台。
但不管怎么说,多因素认证都是是要比纯密码认证更加安全的。
所以以后登录账号,不管是啥平台,建议大家能扫码就扫码,能指纹就指纹,总之别再盲目相信纯密码的安全性啦。
不过话又说回来,以咱现在这个记忆力,即使不是出于安全考虑,我估计也没法用密码登录。
毕竟那么多账号,谁记得住哪个账号的密码是哪个(狗头
14.webp

  • 打卡等级:功行圆满
  • 打卡总天数:834
发表于 2025-6-10 11:58 | 显示全部楼层
问题你见过几个纯数字密码的?不过我有个自己的字典,因为我知道2家厂商的命名规律,字典套就完事,有的时候我不知道别人部署的密码,都能猜出来
回复 支持 反对

使用道具 举报

  • 打卡等级:功行圆满
  • 打卡总天数:834
发表于 2025-6-10 12:41 | 显示全部楼层
暴力破解,首先要知道账号,账号就是字母汉字加符号,先慢慢去破解出账号。接下来六次错误冻账号。接下来看你的5090怎么在6次机会里猜中账号密码。
回复 支持 反对

使用道具 举报

  • 打卡等级:功行圆满
  • 打卡总天数:834
发表于 2025-6-10 12:58 | 显示全部楼层
这样破解网络帐号根本不可能,因为只知道用户名,任何再高级的电脑也无法算出密码,如果要靠算,除非5090能抓到加密后的加密串,但在提交电脑抓取,那等于己黑掉了电脑,有n种办法可以直接获得密码,根本不用5090,那余下就是在电脑后的交换机或路由器上抓取,等于是黑掉了交换机或路由器。
回复 支持 反对

使用道具 举报

  • 打卡等级:功行圆满
  • 打卡总天数:834
发表于 2025-6-10 13:00 | 显示全部楼层
小编明显对网络安全和密码学一知半解。首先,密码输错若干次(比如5次),可以暂时冻结账号一段时间,比如一小时。再错,冻结一天。再错,长期冻结。必须向客服提供一些证明才能解除账号冻结和重置密码,这样就杜绝了账号密码被暴力破解的风险。另外,小编提到哈希值,用哈希算法直接对密码进行计算,犹如家里装贵重物品的箱子上锁了,旁边放着钥匙。所以这样做根本就起不到作用。正确的做法是用密码、用户名、创建时间、服务器ID,以一种特定的格式来拼接,然后生成哈希值,这样的哈希值是“加盐”的,黑客绝对无法使用哈希字典反向破解。
回复 支持 反对

使用道具 举报

  • 打卡等级:功行圆满
  • 打卡总天数:833
发表于 2025-6-10 13:59 | 显示全部楼层
我的rar…一共17位大小写+数字+标点符号,结果给忘了
回复 支持 反对

使用道具 举报

  • 打卡等级:功行圆满
  • 打卡总天数:834
发表于 2025-6-10 14:10 | 显示全部楼层
去算比特币钱包密码比盯着我几十块待还的借呗值钱多了
回复 支持 反对

使用道具 举报

  • 打卡等级:功行圆满
  • 打卡总天数:834
发表于 2025-6-10 14:13 | 显示全部楼层
另外现在简单点的密码加密都是把用户名与密码的加密串分别加密后再截多少位再加密后提交到服务器作对比,这个二次加密串加密前就包含了几十位数字与字母,然后再把这几十位再加密成串提交到服务器,根本无法从抓到的串再从字典里查出来。
回复 支持 反对

使用道具 举报

  • 打卡等级:功行圆满
  • 打卡总天数:834
发表于 2025-6-10 14:14 | 显示全部楼层
如果允许可以把密码改成中文的,破解起来绝对炸裂。来几个大小写英语加数字加特殊符号,当中穿插一段中文的文言文。凑够20位,让它爆破去。
回复 支持 反对

使用道具 举报

  • 打卡等级:功行圆满
  • 打卡总天数:834
发表于 2025-6-10 14:22 | 显示全部楼层
不是因为破解我账号里面的价值还不够交5090的电费吗?
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

文字版| 手机版| 小黑屋| RSS| 举报不良信息| 精睿论坛 ( 鄂ICP备07005250号-1 )

GMT+8, 2026-7-2 20:40 , Processed in 0.294632 second(s), 5 queries , Gzip On, Redis On.

Powered by VC52.CN

快速回复 返回顶部 返回列表