为什麽? 因为它们不能靠 GPU 来加速破解...
看到一篇
文章, 我们跳过前面讨论 hash 加密的过程, 当然那些将密码以明码存在数据库的网站实在要好好检讨一下!!!!
後面就是重点了, 当年设计这些 hash function 的时候只有考虑到 CPU , 却没想到现在已经有了 GPU 计算, GPU 随便都可以跑得比 CPU 快个一两百倍, 更别說 Amazon 的 EC2 已经可以 了 (而且当天就有人拿去了 XD) 6个字以内的密码可以在49分钟内算出来(而且 EC2 GPU一个小时只要2.1美金)
文章最後的结论是:
- 如果程式不是你写的, 你只是使用者的话, 那密码越长越好, 就算是有意义的词也无所谓, 反正只要够长就没办法用暴力法算出来.
- 如果你就是负责写程序的, 那就选用那种没办法用 GPU 加速的 hash function 来保护密码吧, 他的推荐是 bcrypt 和 PBKDF2
至於 bcrypt 和 PBKDF2 要怎样实作就要研究一下了.....^^""
阅读(3109) | 评论(0) | 转发(0) |
