問題タブ [brute-force]

我慢してください、私はほんの数週間しかPHPを学んでいないので、サンプルコードは私を混乱させるかもしれません。やっと塩漬けがわかったと思います！侵害された場合、データベース内のパスワードを保護するためです。

私が理解していないのは、ハッカーがユーザーのパスワードを理解しようとしている場合、なぜハッカーはハッシュをクラックしなければならないのでしょうか（それが彼らの目標であると仮定して）？これは簡単ではないでしょうか？パスワード推測からの唯一の防御策は、パスワード入力の制限を1日にX回またはCAPTCHAで実装することですか？

そもそもデータベースはどのようにハッキングされるのでしょうか？それはより多くのパスワード推測ですか、それともMySQLインジェクションを通じてハッシュを取得できますか？

ありがとう！

数独パズルを解決するためのブルート フォース アルゴリズムの実装は、 1 ～ 9 の数字のいずれかを配置することが不正な動きになるセルが発見された場合に失敗します。

実装は C で書かれており、ボードは 9x9 配列で表されます。ソルバーは、9 から正当な数に到達するまでカウントダウンし、到達できない場合は、代わりにゼロを出力します。

ゼロは、入力されるセルも表します。ゼロの文字列 (空のボード) が入力である場合の出力 (切り捨てられた) は次のとおりです。

最後の 3 つのゼロがあるのは、以前に入力された値が変更されていないためです。ソルバーがこのように失敗しないようにするにはどうすればよいですか?

7文字のパスワードは安全ではなくなったという記事を読んだばかりです。ただし、サーバーがログイン試行のたびにログイン試行を再試行する時間を増やす場合、ブルートフォース攻撃は役に立ちません。asp.netでそのようなロジックをどのように作成しますか？どういうわけか、サーバー側のコードはログインを試みたIPアドレスを記憶する必要があり、新しい試行ごとに応答時間を増やす必要があると思いますか？

愚かな古い私からの別の簡単な質問。

私たちは、たとえば次のような大きな数字が投げかけられるのを聞き続けています。

誰もがクラックするのに200億億年かかるでしょう。

誰かがあなたがそれをクラックしたときさえあなたが知っている方法を説明できますか？1兆の組み合わせを並べ替えた場合、正しい組み合わせに合格したかどうかをどのように知ることができますか？確かに、それほど多くの要求をそれほど速く処理することができないライブシステムでそれをテストする必要があり、中途半端なシステム管理者が攻撃に気付くでしょう。

「キー############をクラックする」ための競争を見続けていますが、解決策があるときはどうやって知るのですか？Ha you wont find me!あなたは魔法のように英語のフレーズ「 」か何かに出くわしますか？

私は何が欠けていますか？

私は数週間後にコンピュータと情報セキュリティコースのセキュリティプレゼンテーションを行っています。このプレゼンテーションでは、さまざまな攻撃（辞書、レインボー、ブルートフォース）の長所と短所を示します。私は辞書とレインボー攻撃をうまくやっていますが、ブルートフォース攻撃をその場で生成する必要があります。文字、記号、数字のすべての組み合わせを特定の文字の長さまで循環させるアルゴリズムを見つける必要があります。

したがって、例として、文字の長さが12の場合、最初と最後の数世代は次のようになります。

でも、数字や記号も使われるので、説明するのはなかなか難しいですが…でも、あなたはその考えを理解していると思います。ASCIIテーブルのシンボルのみを使用することは問題ありません。

ASCII関数を使用してカウンターでこれを行うことができますが、頭の中でうまくいくことができません。誰かがソースコード（おそらくC＃を使用しているでしょう）またはそれから関数をプログラムできる疑似コードさえも提供できれば素晴らしいでしょう。

前もって感謝します。:)

バイナリデータの最大矩形領域を見つけるためのアルゴリズムの記述に問題があります。1 は 0 よりも k 回頻繁に発生します。データは常に次のような n^2 ビットです。

たとえば、n = 4 のデータは次のようになります。

1 0 1 0
0 0 1 1
0 1 1 1
1 1 0 1

k の値は 1 .. j です (k = 1 は、0 と 1 の数が等しいことを意味します)。

上記のデータの例と k = 1 の場合の解は次のとおりです。

1 0 1 0 <- 4 x '0' および 4 x '1'
0 0 1 1
0 1 1 1
1 1 0 1

しかし、この例では:
1 1 1 0
0 1 0 0
0 0 0
0 1 1 1

解は次のようになります:
1 1 1 0
0 1 0 0
0 0 0
0 1 1 1

ブルート フォース アルゴリズムをいくつか試してみましたが、n > 20 の場合は遅すぎます。この問題をどのように解決すればよいか教えていただけますか?

RBerteig が提案したように、この問題は次のように説明することもできます。

友人が私に挑戦をくれました。彼はPHPの暗号化関数（CRYPT_STD_DES）（PHP4から）を使用して文字列を暗号化しました。暗号化に使用されるソルトを知っています。cryptは一方向のアルゴリズムであるため、ブルートフォース方式を使用する必要があります。パスワードは小文字のみで構成されていることを知っています。

今、私は16コア（2x Xeon）とたくさんのRAMを備えたマシンを持っています。この強制攻撃を実装するための最も効率的な方法は何ですか（PHPを使用する必要があると思いますが、これはまったく問題ありませんが、アイデアがあれば...）

[編集]

そして、私は言及するのを忘れました、暗号化された表現は13文字の長さであり、文字列は単純なパスワード暗号化のように8文字未満です:)

Drupalサイトで奇妙な動作に気づきました。間違った対策を講じるのに時間を無駄にしないように、行動を起こす前に見ているデータを理解するのが好きですが、解釈するためのセキュリティ知識が不足しています。

1つのアカウントで、プロファイルの編集ページへのアクセスの試行、ログイン（数日前に、アカウントに250のアクティブなセッションがあることに気付いた）、膨大な数のパスワード要求など、多くの奇妙な繰り返し要求が行われました。アカウントには管理者権限がなく、誰でもアカウントに登録できます。

編集：Drupalのバージョンは6.17です。

何が起こっているかについての私の最善の推測は次のとおりです。

（1）Joe Evil-doerは、DOS攻撃として複数のパスワードリセット要求を使用しています（機能しています：<）

（2）Joe Evil-doerは、繰り返し要求されたパスワードの辞書をどうにかして作成しようとしています（これが機能する方法はわかりません）。

（3）私は、多数のトランザクションが失敗し、何度も再コミットを試みた犠牲者です。

他のシナリオはありますか？これは、一般的なDrupalエクスプロイトと一致しますか？

これがデータです。データベースのaccesslogテーブルで次のクエリを実行しました。

以下の結果（ユーザーIDとページ名がクリーンアップされました、ofc）。各列のCount（*）は、各操作で受信した要求の数を示す必要があります。

私は現在、公開鍵と個人ファイルの暗号化の両方を試しています。私が使用するプログラムには、それぞれ 2048 ビットの RSA と 256 ビットの AES レベルの暗号化があります。このようなことの初心者として (私は約 1 か月間サイファーパンクであり、情報システムには少し慣れていません) RSA アルゴリズムに精通していませんが、ここでは関係ありません。

秘密の研究所や NSA のプログラムがたまたま量子コンピューターを持っていない限り、これらのプログラムが提供するセキュリティ レベルをブルート フォース ハッキングすることは現在のところ不可能であることはわかっていますが、ファイルを暗号化して暗号化することで、どれだけ安全になるのか疑問に思っていました。もう一度。

一言で言えば、私が知りたいのはこれです：

1. 256 ビット AES を使用してファイルを暗号化し、既に暗号化されたファイルを (再び 256 を使用して) もう一度暗号化すると、512 ビット AES セキュリティと同等になりますか? これは、ブルート フォース メソッドが潜在的にテストしなければならない可能性のあるキーの数が、2 x 2 の 256 乗または 2 の 256乗の 2 乗になるかどうかという問題です。悲観的に言えば前者だと思いますが、256-AES で 2 回暗号化するだけで本当に 512-AES が実現できるのでしょうか?
2. ファイルが何度も暗号化されると、暗号化の各レベルで異なるキーを使用したり、パスワードを入力したりしなければならなくなります。おそらく、複数の異なるパスワードを必要とするファイルを数回暗号化した場合、クラッカーは暗号化の最初のレベルを突破したかどうかを知る方法がないのではないかと考えていました。ファイル。

次に例を示します。

• 復号化されたファイル
• DKE$jptid UiWe
• oxfialehv u%uk

最後のシーケンスがクラッカーが操作しなければならなかったものであると少し考えてみてください。ブルートフォースで元のファイルに戻るには、(次のレベルの暗号化をクラックする前に) 得なければならない結果が引き続き表示されます。第 1 レベルの暗号化を突破すると、まったく役に立たないファイル (2 行目) になります。これは、ブルート フォースを使用しようとする人は、おそらく暗号化されたファイルしか表示されないため、元のファイルに戻る方法がないということですか?

これらは基本的に、同じことを扱う 2 つの質問です。つまり、同じファイルを何度も何度も暗号化することの影響です。私は Web を検索して、暗号化の繰り返しがファイルの安全性にどのような影響を与えるかを調べましたが、最初の質問に対する答えが「いいえ」であるという逸話をどこかで読んだことを除けば、同じトピックに関する 2 番目のスピンに関連するものは何も見つかりませんでした。 . 私は特に最後の質問に興味があります。

**仮に、彼らがどうにかして脆弱なパスワードを強引に突破したと仮定すると、安全なパスワードを作成する方法を知っていれば、これは現在 256-AES で技術的に可能であるように思われるためです...

ユーザーに 4 桁の数字を入力してもらいたいのですが、プログラムはその 4 桁の数字が何だったのかを伝える必要があります。つまり、ブルート フォース攻撃によってその 4 桁の数字を生成する必要があります。私がそれを実装している方法についていくつかのコメントがありますが、それは良い習慣ですか?