Re: [閒聊] 人類對密碼還能瘋狂到什麼程度？

※ 引述 《york159 (解癮了)》 之銘言：
: 　
: ※ 引述《er2324 (er2324)》之銘言：
: : 聽人說非常久以前，
: : 台灣的Online Game 申請密碼可以只用1234這麼簡單的規則跟字數。
: : 隨著時代演進，慢慢開始－－
: : 1.
: : 限制字數，至少要O個字
: : ↓
: : 2.
: : 不能只用數字，需要英文+數字+限制最小字數
: : ↓
: : 3.
: : 英文+大小寫+數字+限制最小字數
: : ↓
: : 4.
: : (目前)
: : 英文+大小寫+數字+特殊符號+限制最小字數
: : 你們覺得接下來密碼的規則還可以瘋狂到什麼地步？
: : 這時候中文就有一個好處。
: : 中文是世界上最難的語言之一，你直接把密碼用"早上起床"的鍵盤按法，
: : 這就是一個外國人超難破解的密碼了。
: 　
: 單單講密碼的話，目前就已經夠強了。
: 撇除盤外的直接洩漏，暴力破解的話
: 參雜大小寫或是符號的效益有多高
: 直接看圖就知道。
: 　
: http://i.imgur.com/4cvZK5f.jpg
: 　
: 中文直翻會難破解，
: 是建立在長度和英數混
: 而不是看起來沒有邏輯
: 以原po舉例：「早餐好難」
: 會變成 yl3h0c13s06
: 11 碼+英文數字混雜
: 光是純小寫就需要 1000 年
: 還混數字，如果你加 1 個大寫
: 難度直接變14,000,000年
: 　
: 當然現實中有盤外破解
: 也是為什麼越來越多密碼以外的驗證方式
: 就交給懂的人介紹
: 單純講密碼，現在就已經足夠了。
: 　
: 圖片來源：https://www.hivesystems.com/blog/are-your-passwords-in-the-green
: 　
: -----
: Sent from JPTT on my Asus ASUS_AI2202.
: 　

以上全都是假議題

以上成立的條件都是要建立在駭客也是自O的條件下，只會用暴力解

駭客也是人，不是機器，所以當然不會用暴力解的方式去破解

通常都是用一些類似物理方法破解

像是電影達文西密碼

人家偷畫時也不是直接暴力解，而是看指紋灰塵的深度，加上一點邏輯，因為通常知道該密碼的人很少，而且能進去該地方的人不多，所以通常很少有按錯密碼指紋的干涉，所以就用這種物理方法破解

抑或是以前看過有文章介紹物理方法破解，像是利用玻璃反射的方式偷看你密碼是啥

或是抓一些程式漏洞

像是偷看解析未加密封包

RO，艦娘都屬這類

這也是為啥RO外掛不用灌主程式的原因，因為人家就只是靠傳伺服器端能夠接受的未加密封包，這樣也變相不容易抓外掛，因為沒有檢查措施

艦娘則是因為封包也未加密，可以利用腳本的方式自動出征，當然你就會發現會有白O直接把腳本放到公有github，token直接明碼赤裸裸的映射在google面前（我也有挖掘過這些帳號，只不過挖掘完已經來不及了，帳號都被一堆陌生人士玩壞了，一直亂拆船亂大建）

當然現今比較流行的方式還是類特洛伊木馬

用個釣魚網站或mail，讓你被騙帳密而達成盜取帳密的行為

或者是某天出現某位天才證明P=NP，那就世界大亂，因為目前大部分的加密不是用hash,就是RSA或橢圓形

若P=NP的話，你密碼不論設多複雜也沒用，人家抓取後台的hash 可以用多項式時間內破解

所以其實密碼設太複雜也沒用，這也是近期專家建議不必這麼做的原因，反而因為設太複雜腦子不好記反而容易露出物理破洞

資安和駭客其實也算是一種鬥智的過程

--