21ic电子技术开发论坛 已关闭版块 Cortex-M0助学园地 雁塔菜农HotWC3注册门以及UID应用
返回列表 发新帖我要提问

[菜农群课笔记] 雁塔菜农HotWC3注册门以及UID应用

[复制链接]
4776|15
 楼主| 乡村男孩 发表于 2011-12-25 10:53 | 显示全部楼层 |阅读模式
ui, hotwc3, CRC, rc, pow
本帖最后由 乡村男孩 于 2011-12-25 11:53 编辑

今天是圣诞节了,**中若是有不妥的地方,欢迎大家砸蛋~!大家圣诞快乐呀~!


1.缘起HotWC3
HotWC3到底为何方神器?难道是WC的三舅子或者二表弟,非也!HotHotpower的前缀,也就是我们HotWC3的创造者雁塔一菜农也!WWeek(星期),CCRC,3即三角密码!顾名思义HotWC3即是一个包含了星期\CRC\三角密码的东东。这个东东大叔(雁塔菜农)直呼其为玩具,因为其适合想我这样的菜鸟把玩。但是这么好的一个玩具,也希望大伙来一起折腾,毕竟“独乐乐,不如众乐乐”。请用你尊贵的右手,猛击下面的链接地址,如此玩具即刻拥有!http://www.hotpower.net/HotPower_HotAjax.html,如果你来不及等待就深入吧!!



-------平安之夜,孤独一人,实在憋不住了,先去。。。未完待嘘...

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?注册

×
回复

收藏 举报

相关帖子
 楼主| 乡村男孩 发表于 2011-12-25 10:53 | 显示全部楼层
自己沙发
抢啦
回复

收藏 举报

hotpower 发表于 2011-12-25 10:56 | 显示全部楼层
注册门???
回复

收藏 举报

xyz549040622 发表于 2011-12-25 10:56 | 显示全部楼层
乡村男孩,嘎嘎
回复

收藏 举报

 楼主| 乡村男孩 发表于 2011-12-25 10:57 | 显示全部楼层
大叔的论坛注册机制呀
回复

收藏 举报

Swallow_0322 发表于 2011-12-25 11:16 | 显示全部楼层
顶乡村男孩!文采不错,呵呵!
回复

收藏 举报

plc_avr 发表于 2011-12-25 11:21 | 显示全部楼层
又一个文学青年!顶!
回复

收藏 举报

sleijun 发表于 2011-12-25 11:22 | 显示全部楼层
值此多事之秋,不顶不行啊,这么多论坛的密码都被公开了,可悲啊
回复

收藏 举报

hotpower 发表于 2011-12-25 12:46 | 显示全部楼层
估计很多论坛都和CSDN一样采用明文密码存储。早晚会出事。
俺从2003年上网就一直在宣传自我保护意识。
一直无人理会。实在孤独和劳累。
好?先感谢CSDN,再感谢那些黑客,再感谢那些喜欢玩具的网友。
回复

收藏 举报

murex 发表于 2011-12-25 21:48 | 显示全部楼层
好事啊,文学青年层出不穷啊
回复

收藏 举报

缥缈九哥 发表于 2011-12-25 22:30 | 显示全部楼层
顶起。
回复

收藏 举报

hotpower 发表于 2011-12-26 08:26 | 显示全部楼层
本帖最后由 hotpower 于 2011-12-26 08:35 编辑

正在研究HotWC3的碰撞问题,因为任何哈希函数存在着碰撞问题,例如王晓云教授研究MD5碰撞的成果。

但是论坛或邮箱都可以用验证码来阻止穷举散列数的频率,输入密码错误次数锁定并发送绑定邮箱或绑定手机通知用户。

这些都可以防范。

但是存储散列值应该说比存储密文密码要安全的多,但单向散列函数故有的碰撞特性任何人都无法回避。

为了在输入流中隐含更多的各方信息,例如散列数中同时隐含了用户和网站各自的信息例如:

用户持有:用户名和用户密码
网站持有:用户名和网站特定码和散列值。

其中:散列值=哈希函数(用户名,用户密码,网站特定码)

这样做后,用户或网站都必须同时知道对方的信息而且要知道算法。
这样将降低碰撞的概率,逼迫其在知道用户名和网站特定码及算法的前提下攻击用户密码。

由于论坛或邮箱登陆输入信息是以流的方式出现,故可以再附加用户密码的长度信息。
由于散列函数碰撞可以用短密码长度得到同样的散列值,故测试用户密码注册长度也是
一种安全机制。但同时又告诉了黑客重要的信息。

用户持有:用户名和用户密码
网站持有:用户名及用户密码注册长度和网站特定码和散列值。

其中:散列值=哈希函数(用户名,用户密码,用户密码注册长度,网站特定码)

为了解决密码找回问题,故网站数据库应该存储下列信息(字段):

1.用户名
2.用户密码注册长度
3.网站特定码
4.散列值
5.绑定邮箱
6.绑定手机
7.密码找回提问(是个漏洞,可以考虑废除)


HotPower@126.com 2011.12.26
回复

收藏 举报

 楼主| 乡村男孩 发表于 2011-12-26 10:15 | 显示全部楼层
大叔
如果找到碰撞规律
是否可以再次修改哈希函数,使其更加难以找到碰撞规律呢?
回复

收藏 举报

hotpower 发表于 2011-12-26 12:04 | 显示全部楼层
HotWC3网上单向散列函数验证:http://www.hotpage.net.cn/HotPower_HotAjax.html


用户hotpower手持:
用户名:hotpower,用户密码:250

网站www.21ic.com掌握:
网站特定码:www.21ic.com
用户名:hotpower
用户密码注册长度:3
散列数:8917DEF303D5B0E3 【上图中点击运算后的“结果”】


再举例:


用户程序匠人手持:
用户名:程序匠人,用户密码:250*250

网站www.21ic.com掌握:
网站特定码:www.21ic.com
用户名:程序匠人
用户密码注册长度:7
散列数:12EE81D2FECE8CED 【上图中点击运算后的“结果”】

再举例:

用户水清音手持:
用户名:水清音,用户密码:GGMM

网站www.21ic.com掌握:
网站特定码:www.21ic.com
用户名:水清音
用户密码注册长度:4
散列数:4BEAEE34E6B8789B 【上图中点击运算后的“结果”】

从上面的三个例子可以看出“密码注册长度”是非常重要的,只有满足这个条件之一的才是真正的散列数。
假若不限定密码注册长度,那么会有千百万个碰撞发生,伪造的概率将急剧增大且缩短攻击次数即攻击时间。
回复

收藏 举报

haolaishi 发表于 2011-12-26 16:48 | 显示全部楼层
顶帖 支持大叔
回复

收藏 举报

hotpower 发表于 2012-10-23 19:16 | 显示全部楼层
挖墓为2012.10.25菜农个人版《HotWC3密码体系》开版搜索
回复

收藏 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

乡村男孩

0

主题

539

帖子

2

粉丝
快速回复 在线客服 返回列表 返回顶部