打印
[菜农群课笔记]

雁塔菜农HotWC3注册门以及UID应用

[复制链接]
3784|15
手机看帖
扫描二维码
随时随地手机跟帖
跳转到指定楼层
楼主
乡村男孩|  楼主 | 2011-12-25 10:53 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
本帖最后由 乡村男孩 于 2011-12-25 11:53 编辑

今天是圣诞节了,**中若是有不妥的地方,欢迎大家砸蛋~!大家圣诞快乐呀~!


1.缘起HotWC3
HotWC3到底为何方神器?难道是WC的三舅子或者二表弟,非也!HotHotpower的前缀,也就是我们HotWC3的创造者雁塔一菜农也!WWeek(星期),CCRC,3即三角密码!顾名思义HotWC3即是一个包含了星期\CRC\三角密码的东东。这个东东大叔(雁塔菜农)直呼其为玩具,因为其适合想我这样的菜鸟把玩。但是这么好的一个玩具,也希望大伙来一起折腾,毕竟“独乐乐,不如众乐乐”。请用你尊贵的右手,猛击下面的链接地址,如此玩具即刻拥有!http://www.hotpower.net/HotPower_HotAjax.html,如果你来不及等待就深入吧!!



-------平安之夜,孤独一人,实在憋不住了,先去。。。未完待嘘...

雁塔菜农HotWC3注册门以及UID应用.pdf

539.44 KB

相关帖子

沙发
乡村男孩|  楼主 | 2011-12-25 10:53 | 只看该作者
自己沙发
抢啦

使用特权

评论回复
板凳
hotpower| | 2011-12-25 10:56 | 只看该作者
注册门???

使用特权

评论回复
地板
xyz549040622| | 2011-12-25 10:56 | 只看该作者
乡村男孩,嘎嘎

使用特权

评论回复
5
乡村男孩|  楼主 | 2011-12-25 10:57 | 只看该作者
大叔的论坛注册机制呀

使用特权

评论回复
6
Swallow_0322| | 2011-12-25 11:16 | 只看该作者
顶乡村男孩!文采不错,呵呵!

使用特权

评论回复
7
plc_avr| | 2011-12-25 11:21 | 只看该作者
又一个文学青年!顶!

使用特权

评论回复
8
sleijun| | 2011-12-25 11:22 | 只看该作者
值此多事之秋,不顶不行啊,这么多论坛的密码都被公开了,可悲啊

使用特权

评论回复
9
hotpower| | 2011-12-25 12:46 | 只看该作者
估计很多论坛都和CSDN一样采用明文密码存储。早晚会出事。
俺从2003年上网就一直在宣传自我保护意识。
一直无人理会。实在孤独和劳累。
好?先感谢CSDN,再感谢那些黑客,再感谢那些喜欢玩具的网友。

使用特权

评论回复
10
murex| | 2011-12-25 21:48 | 只看该作者
好事啊,文学青年层出不穷啊

使用特权

评论回复
11
缥缈九哥| | 2011-12-25 22:30 | 只看该作者
顶起。

使用特权

评论回复
12
hotpower| | 2011-12-26 08:26 | 只看该作者
本帖最后由 hotpower 于 2011-12-26 08:35 编辑

正在研究HotWC3的碰撞问题,因为任何哈希函数存在着碰撞问题,例如王晓云教授研究MD5碰撞的成果。

但是论坛或邮箱都可以用验证码来阻止穷举散列数的频率,输入密码错误次数锁定并发送绑定邮箱或绑定手机通知用户。

这些都可以防范。

但是存储散列值应该说比存储密文密码要安全的多,但单向散列函数故有的碰撞特性任何人都无法回避。

为了在输入流中隐含更多的各方信息,例如散列数中同时隐含了用户和网站各自的信息例如:

用户持有:用户名和用户密码
网站持有:用户名和网站特定码和散列值。

其中:散列值=哈希函数(用户名,用户密码,网站特定码)

这样做后,用户或网站都必须同时知道对方的信息而且要知道算法。
这样将降低碰撞的概率,逼迫其在知道用户名和网站特定码及算法的前提下攻击用户密码。

由于论坛或邮箱登陆输入信息是以流的方式出现,故可以再附加用户密码的长度信息。
由于散列函数碰撞可以用短密码长度得到同样的散列值,故测试用户密码注册长度也是
一种安全机制。但同时又告诉了黑客重要的信息。

用户持有:用户名和用户密码
网站持有:用户名及用户密码注册长度和网站特定码和散列值。

其中:散列值=哈希函数(用户名,用户密码,用户密码注册长度,网站特定码)

为了解决密码找回问题,故网站数据库应该存储下列信息(字段):

1.用户名
2.用户密码注册长度
3.网站特定码
4.散列值
5.绑定邮箱
6.绑定手机
7.密码找回提问(是个漏洞,可以考虑废除)


HotPower@126.com 2011.12.26

使用特权

评论回复
13
乡村男孩|  楼主 | 2011-12-26 10:15 | 只看该作者
大叔
如果找到碰撞规律
是否可以再次修改哈希函数,使其更加难以找到碰撞规律呢?

使用特权

评论回复
14
hotpower| | 2011-12-26 12:04 | 只看该作者
HotWC3网上单向散列函数验证:http://www.hotpage.net.cn/HotPower_HotAjax.html


用户hotpower手持:
用户名:hotpower,用户密码:250

网站www.21ic.com掌握:
网站特定码:www.21ic.com
用户名:hotpower
用户密码注册长度:3
散列数:8917DEF303D5B0E3 【上图中点击运算后的“结果”】


再举例:


用户程序匠人手持:
用户名:程序匠人,用户密码:250*250

网站www.21ic.com掌握:
网站特定码:www.21ic.com
用户名:程序匠人
用户密码注册长度:7
散列数:12EE81D2FECE8CED 【上图中点击运算后的“结果”】

再举例:

用户水清音手持:
用户名:水清音,用户密码:GGMM

网站www.21ic.com掌握:
网站特定码:www.21ic.com
用户名:水清音
用户密码注册长度:4
散列数:4BEAEE34E6B8789B 【上图中点击运算后的“结果”】

从上面的三个例子可以看出“密码注册长度”是非常重要的,只有满足这个条件之一的才是真正的散列数。
假若不限定密码注册长度,那么会有千百万个碰撞发生,伪造的概率将急剧增大且缩短攻击次数即攻击时间。

使用特权

评论回复
15
haolaishi| | 2011-12-26 16:48 | 只看该作者
顶帖 支持大叔

使用特权

评论回复
16
hotpower| | 2012-10-23 19:16 | 只看该作者
挖墓为2012.10.25菜农个人版《HotWC3密码体系》开版搜索

使用特权

评论回复
发新帖 我要提问
您需要登录后才可以回帖 登录 | 注册

本版积分规则

0

主题

539

帖子

2

粉丝