Ars Technica 上有一篇关于破解密码的精彩文章: http://arstechnica.com/security/2013/03/how-i-became-a-password-cracker/
但我不明白为什么?从黑帽黑客的角度来看,如果没有与密码关联的用户名/电子邮件,那么拥有密码列表有什么好处?或者用户名通常与密码泄露有关?
我只是感到困惑,因为大家都在谈论密码,却没有谈论用户名。密码列表对黑客有什么好处?当你有特定的用户名时,尝试另一次攻击?
答案1
是的,他们有用户名。但是哈希工具并不关心用户名,它们将用户名分离出来,只将密码哈希提供给破解工具。然后您将找到的哈希与用户名进行匹配。
嗯,话虽如此,如果你只有密码,还是有一些好处的。知道人类是习惯的动物,你可以破解这个密码列表,在你得到一个包含用户名和密码的列表时预先计算一些哈希值。(并有存储空间)。这更好地称为彩虹表
需要注意的是,列表需要使用完全相同的哈希算法,并且不需要(或者完全相同)盐。
另一件事:这篇文章(我也读过)主要是关于密码哈希匹配的机制。文章的写作目的是“破解哈希有多容易”,而不是“我如何破解”。因此,在这个非常特殊的情况下,用户名与密码破解者的使用无关。所以在这篇非常具体的文章中没有提到它们。
答案2
如果您可以入侵系统以获取密码列表,那么您很可能也会获得用户名。从技术上讲,有趣的是“破解”密码,因为用户名将以纯文本形式存储。正如您所提到的,这篇文章是关于使用现有工具和技术解密密码,以及大多数密码很容易被破解。