菜农开战HotWC3,为密码的真谛而战

2万 · 2011-12-22 22:31

本帖最后由 hotpower 于 2011-12-26 07:48 编辑

菜农在忽略安全的发源地开战：http://blog.csdn.net/hotwc3/article/details/7097091

HotWC3密码体系验证三个链接地址：
http://www.hotpage.net.cn/HotPower_HotAjax.html
http://www.hotpower.net/HotPower_HotAjax.html
http://www.hotpower.org/HotPower_HotAjax.html

即日起开通：
菜农HotWC3密码交流群：203534415
新浪HotWC3密码交流微群：542867

群课记录（内含水妹妹学习密码为写情书）：
CSDN密码被盗？看菜农讲解Hotpower之论坛加密
雁塔菜农HotWC3注册门以及UID应用
幼儿园玩具-第一篇
幼儿园玩具-第二篇

回应菜农在看雪论坛被“拷打的难题”

只看该作者 · 2011-12-22 22:53

嘿嘿我最先捧场:D虽然暂时对密码没啥兴趣:lol

2万 · 2011-12-23 00:05

20111214 12:01:11未知设置登录保护|忽略本条异常记录

20111214 12:00:53
未知
设置登录保护|忽略本条异常记录

20111214 12:00:39
未知
设置登录保护|忽略本条异常记录

20111214 12:00:21
未知
设置登录保护|忽略本条异常记录

20111206 11:40:28
中国安徽铜陵
设置登录保护|忽略本条异常记录

20111206 11:40:05
中国安徽铜陵
设置登录保护|忽略本条异常记录

20111206 11:39:47
中国安徽铜陵
设置登录保护|忽略本条异常记录

20111206 11:39:15
中国安徽铜陵
设置登录保护|忽略本条异常记录

20111206 11:38:37
中国安徽铜陵
设置登录保护|忽略本条异常记录

20111206 11:37:35中国安徽铜陵设置登录保护|忽略本条异常记录

20111206 11:36:55
未知
设置登录保护|忽略本条异常记录

20111206 11:36:24
中国安徽铜陵
设置登录保护|忽略本条异常记录

20111206 11:35:55
中国安徽铜陵
设置登录保护|忽略本条异常记录

20111206 11:35:44
中国安徽铜陵
设置登录保护|忽略本条异常记录

20111206 11:35:18
中国安徽铜陵
设置登录保护|忽略本条异常记录

20111206 11:34:51
中国安徽铜陵
设置登录保护|忽略本条异常记录

20111206 11:34:25
中国安徽铜陵
设置登录保护|忽略本条异常记录

20111206 11:33:39
中国安徽铜陵
设置登录保护|忽略本条异常记录

20111206 11:32:51
中国安徽铜陵
设置登录保护|忽略本条异常记录

只看该作者 · 2011-12-23 01:46

捧场!:)

2万 · 2011-12-23 05:36

本帖最后由 hotpower 于 2011-12-23 07:53 编辑

捧场!:)
testcode 发表于 2011-12-23 01:46

谢谢TestCode!!!

菜农要在CSDN讨个说法！！！在那里开战。

本来想在看雪开战，由于菜农2年前在那里开战，帖子被判不能改！！！
他们害怕删帖，晕！！！
(转)用CRC编解码矩阵的概念任意制造CRC碰撞_--_百度空间

http://hi.baidu.com/wingingbob/blog/item/159795cee7ba820a92457ed8.html

作者：看雪论坛 [size=+0]HotPower
原文：http://bbs.pediy.com/showthread.php?t=93968

CRC编解码矩阵见：http://bbs.pediy.com/showthread.php?t=93844
可以看到用CRC编解码矩阵的概念更容易实现“CRC碰撞”

网上的一个求助帖：求生成的CRC64编码完全相同的两个串

我们可以做2个CRC64(左移):
设CRC64权(左移)=0x42F0E1EBA9EA3693 CRC64校验和=0x012345678ABCDEF
要求:
CRC64明文1=0x1122334455667788
CRC64明文2=0x8877665544332211

那么CRC64的2个初值为多少？？？
因为CRC64的初值我们无法立即得到，但我们可以间接得到：

在CRC正运算即CRC编码(对称)矩阵中，初值和明文可以相互交换。
在CRC逆运算即CRC解码(非对称)矩阵中,密文和初值锁定明文，密文和明文锁定初值。

故CRC64的初值1：
CRC64权=0x42F0E1EBA9EA3693
CRC64初值1=0x1122334455667788(先用明文1替代)
CRC64校验和=0x012345678ABCDEF(就是密文1或密文2)
求CRC64的逆运算即查CRC64的解码表，得到
CRC64明文1=0x2D6FD3ADE7D797FD(此时是逆运算时的明文)

故CRC64初值1=0x2D6FD3ADE7D797FD和CRC64明文1=0x1122334455667788
在CRC64权=0x42F0E1EBA9EA3693时的校验和=0x012345678ABCDEF

同理：
CRC64初值2=0xB43A86BCF682C264和CRC64明文2=0x8877665544332211
在CRC64权=0x42F0E1EBA9EA3693时的校验和=0x012345678ABCDEF

从以上2个例子可以看出：
CRC密码的密钥虽然由初值、权及方向组成，一旦权和方向确定后，初值、明文即密文
三者的关系只要知道两者即可求解出第三者。

故CRC密码的安全之关键在于对CRC权及方向的保护，即对CRC编解码矩阵的保护。

以上问题都归为一般的“CRC碰撞”，即权确定时的CRC碰撞。

若用其它CRC元素求解CRC权，则属于“CRC密钥碰撞”。

以CRC8密钥为例，它有2^16，其中初值2^8,(权+方向)为2^8.

(权+方向)对应1个矩阵，故有2^8次“CRC密钥碰撞”。

但是CRC密钥不确定时，最多只能发生一次“CRC密钥碰撞”。

即其它CRC元素所对应的权即编解码矩阵就不存在。

下图是HotWC3对CRC权及方向的保护：

2万 · 2011-12-23 05:39

CSDN密码泄露，菜农再次开战。

目标就是论坛密码的安全存储和安全方法及规范。

只看该作者 · 2011-12-23 07:35

HOTWC3！强。

只看该作者 · 2011-12-23 07:36

HOTWC3！强。

只看该作者 · 2011-12-23 08:15

顶起，让暴风来的更猛烈些！！！

只看该作者 · 2011-12-23 08:18

2万 · 2011-12-23 08:56

csdn坑爹呀，不知二姨的是否达到坑爷的水平。

只看该作者 · 2011-12-23 10:58

2万 · 2011-12-23 22:17

新浪HotWC3密码交流微群：542867

2万 · 2011-12-26 07:51

本帖最后由 hotpower 于 2011-12-26 08:25 编辑

正在研究HotWC3的碰撞问题，因为任何哈希函数存在着碰撞问题，例如王晓云教授研究MD5碰撞的成果。

但是论坛或邮箱都可以用验证码来阻止穷举散列数的频率，输入密码错误次数锁定并发送绑定邮箱或绑定手机通知用户。

这些都可以防范。

但是存储散列值应该说比存储密文密码要安全的多，但单向散列函数故有的碰撞特性任何人都无法回避。

为了在输入流中隐含更多的各方信息，例如散列数中同时隐含了用户和网站各自的信息例如：

用户持有：用户名和用户密码
网站持有：用户名和网站特定码和散列值。

其中：散列值=哈希函数(用户名，用户密码，网站特定码)

这样做后，用户或网站都必须同时知道对方的信息而且要知道算法。
这样将降低碰撞的概率，逼迫其在知道用户名和网站特定码及算法的前提下攻击用户密码。

由于论坛或邮箱登陆输入信息是以流的方式出现，故可以再附加用户密码的长度信息。
由于散列函数碰撞可以用短密码长度得到同样的散列值，故测试用户密码注册长度也是
一种安全机制。但同时又告诉了黑客重要的信息。

用户持有：用户名和用户密码
网站持有：用户名及用户密码注册长度和网站特定码和散列值。

其中：散列值=哈希函数(用户名，用户密码，用户密码注册长度，网站特定码)

为了解决密码找回问题，故网站数据库应该存储下列信息(字段)：

1.用户名
2.用户密码注册长度
3.网站特定码
4.散列值
5.绑定邮箱
6.绑定手机
7.密码找回提问(是个漏洞，可以考虑废除)

2万 · 2011-12-26 18:18

刷屏把自己刷没了，晕

2万 · 2012-10-23 19:25

挖墓为2012.10.25菜农个人版《HotWC3密码体系》开版搜索

菜农开战HotWC3,为密码的真谛而战

相关下载

相关帖子

晕，看阶级敌人折腾菜农而且改了俺的密码！

社区建设奖章

经常做客

技术新星奖章

突出贡献奖章

甘甜之泉水

常驻人口

技术奇才奖章

无冕之王奖章

沉静之湖泊

七世轮回

精华达人奖章

湍急之河流

十世金身

伴坛终老