哪怕一次验证需要进行 1s 运算(这个效率已经影响用户体验了) 1000000/3600~=277.778h ,十多天的时间,更别说是可以加机器一起跑
至于拖慢数据库泄露后发现高价值用户的时间,你密码表都能泄露用户数据表大概率也泄露了
至于拖慢数据库泄露后发现高价值用户的时间,你密码表都能泄露用户数据表大概率也泄露了
 |
1
gogo_tutu 1 天前 via iPhone
是指哪一款应用
|
 |
2
ryd994 1 天前 via Android  1
是。密码不能只有 6 位。
TPM/智能卡可以用 6 位数字 pin 是因为 TPM 无法读取,且错误多次后会自毁。6 位 pin 可以保证 3 次以内猜不到。 |
 |
3
wfg 1 天前 via iPhone
多次错误会冷却,不存在十多天爆破的情况。
|
 |
4
sentinelK 1 天前
没太懂楼主想表达什么,不安全指的是哪一侧?
如果是用户侧的话,问题不大,因为六位数字往往伴随着尝试次数限制。 如果是数据侧用于非明文存储的话,确实没意义。 但是你光拿到 hash ,你怎么知道他的算法是什么,以及他的明文是什么范围? |
 |
5
qupei2u 1 天前 1
想表达什么?
|
 |
6
stormtrooperx5 1 天前
你用六位 pin 保护的是什么?
|
 |
7
BenHunDun 1 天前
其实不是很确定场景是什么, 可能输入 6 位, 但是在后端有加 salt 后再做哈希?
|
 |
8
drymonfidelia OP |
|
9
stormtrooperx5 5 小时 51 分钟前
@drymonfidelia 先问是不是再问为什么,我没觉得银行/券商登录时校验花了一秒以上,也没影响我体验
|
 |
10
realpg PRO @stormtrooperx5 #6
有几个亿存款的银行卡 |
|
11
sentinelK 1 小时 32 分钟前
@drymonfidelia 数据库侧,慢哈希的意义是相较于其他算法而言的。
假设你知道密码字段的加密算法、加盐逻辑以及取值范围。按照你的理解,一个 6 位纯数字,慢哈希的破解是以天为维度。 如果是其他算法的话,使用 GPU 加速,那暴力破解的单位将会是毫秒。 一天已经把整个银行系统的所有用户都轮完了。 |
|
12
stormtrooperx5 1 小时 3 分钟前
@realpg 麻烦先举证一下
|
Select Language