問題タブ [brute-force]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
c++ - C++ でのブルート フォース キャラクター生成
そこで、CUDA で文字列を照合して比較するブルート フォース文字列ジェネレータを作成しようとしています。よくわからない言語をいじり始める前に、C++ で動作させたいと思っていました。私は現在このコードを持っています。
これで、このコードは実行およびコンパイルされますが、私が望んでいることは正確には実行されません。同じキャラクターのEXを4つやります。aaaa または 1111 そして aaab または 1112 のようにインクリメントせずに次へ進みます。私はこのようなことをいじってみました
私の心の中ではうまくいくはずですが、役に立ちません。
php - ログインを制限すると、BFAから保護しようとします
$_SESSION(変数を使用して)3回失敗すると、ユーザーのコンピューターにCookieが作成され、10分で期限切れになるログインシステムを実装しました。クッキーを削除するだけなので、これでは十分ではないことがわかりました。さて、私が知りたいのは、IPとユーザー名の組み合わせを介して誤ったログインをキャプチャするためのテーブルを実装するとき、このテーブルはいつクリアされるのですか?ブロック時間が経過した後、ユーザーが正常にログインしたときは?
このテーブルに1000エントリが入力されているとしましょう。これを自動的にクリアするにはどうすればよいですか?テーブルの構造は何ですか?
私はこれを提案します:
4つのフィールド: ID、IP、ユーザー名(メールアドレスになります)、block_time(ユーザーが再度ログインできる時間)?
hash - (部分的な) MD5 ハッシュからパスワードを取得することは可能ですか?
MD5 ハッシュの最初の 16 文字しかないとします。ブルート フォース攻撃、レインボー テーブル、またはその他の方法を使用して元のパスワードを取得した場合、何人の互換性のある候補が期待できますか? 1? (思わない) 10、100、1000、10^12? 大まかな回答でも大歓迎です (数値については、ハッシュ理論と方法論に一貫性を持たせてください)。
security - ブルートフォース攻撃に耐えるセキュリティ対策はありますか?
私は特に暗号化について話しているのではなく、全体としてのセキュリティについて話している。データやシステムを保護するために導入できるセキュリティ対策はありますか?それは、仮想的な時間にわたって仮想的な量のリソースがそれに対抗する場合でも耐えることができますか?
答えはノーだと思いますが、私はセキュリティの専門家ではないので、これを大声で言う前に再確認したいと思いました。
更新:私は指摘する必要があります、私は何かを実装する必要があるのでこれを求めていません。それは怠惰な好奇心です。また、ここで仮説を扱っても大丈夫だということにも言及する必要があります。関連性があれば、量子コンピューティングのようなものを自由に方程式に取り入れてください。
php - ブルートフォースに対するIPチェック
ログイン試行者のIPをチェックしてブルートフォースを防止したい。ただし、データベースにとっては大きな問題になります。攻撃の場合は過負荷になります。他の解決策はありますか?
サーバーサイドセッション?何かのようなもの
キャプチャは面倒なので使いたくないです。
security - セキュリティ - ログイン ハッシュの文字数
システムにログインするための一意の URL を各ユーザーに提供したいとします。URL は次のようになります。http://example.com/login/a1b2c3d5e6
たとえば、文字列a1b2c3d5e6は 0 から 9 までの数字で小文字の英語のアルファベットを使用し、10 文字を含むため、この長さの文字列には 36^10 のバリエーションがあります。
素敵な短いハッシュ文字列を取得するには何文字を使用する必要がありますが、同時にブルートフォースが事実上不可能であることを確認するには? 大文字を使用する必要がありますか?
php - HTTP ブルートフォース攻撃の防止
そのため、ユーザーの「キー」を取得して有効かどうかを確認する PHP スクリプトがあります。3回失敗した後にフォームを送信できないようにしたくありません。
私は Cookie を使用することを考えていましたが、それらはクライアント側であるため、フラッシュできるため、スクリプトへの最初の試行として表示されます。セッションも使用しますが、セッション後に期限切れになるためです。バイパスするのは簡単でしょう。このプログラムは DB を必要としないので、可能であれば避けたいと考えています。
また、フォームを送信するためにキャプチャを要求することも考えました。それが最善の選択肢ですか?ご提案をお待ちしております。
security - 224ビットのBlowfish暗号化を破る
復号化したい暗号化ファイルがたくさんあります(ええと)。調査の結果、224ビットの鍵を使用してBlowfishで暗号化されていることがわかりました。平文の最初の数バイトがどのように見えるかを知っています(これは一種のヘッダーです)。
私はNSAではなく、ばかげた計算能力も持っていないことに注意してください。妥当な時間内に(たとえば、宇宙の生命ではなく)キーをブルートフォースする可能性はありますか?
誰かが本格的なBlowfish(しゃれを意図していない)への攻撃を公開し、検索を2 ^(n / 2)に減らしたとどこかで読みましたが、それは不思議なことに消えました。どうやらそれはある種のMITM攻撃でした。Blowfishは16ラウンドのFeistelネットワークを使用しているため、存在する場合は賢くする必要があります。誰かがこれを確認できますか?
編集:私は使用されている多数のキーにアクセスできますが、すべてではありません。おそらく、代わりにキーの生成を攻撃しようとするほうが価値がありますか?
java - 認証に Google アカウントを使用しない場合、GAE/Java はブルート フォース保護を提供しますか?
Google App Engine で Java Web アプリを作成しています。
システムのユーザー アカウントに Google アカウントを使用していないため、ログイン システムに独自のブルート フォース保護を適用する必要がありますか?
それとも、それを簡単にする、またはすべてを最初から行う必要のない組み込み機能はありますか?