防止别人暴力破解密码可以通过多种方法实现。可以使用强密码策略,确保密码至少包含大小写字母、数字和特殊字符,并且长度足够长(通常不少于8位)。定期更换密码,并确保密码在系统中正确保存和管理。使用两步验证或生物识别技术(如面部识别)可以增加账户安全性。限制登录尝试次数,以减少被猜破的可能性。
如何防止别人暴力破解密码
不要使用MD5,SHA1,SHA256 等加盐值保存密码,不安全,使用bcrypt算法
用户的登录密码,是非常重要的一个安全环节。 如果明文保存在数据库,一旦黑客入侵或是内部员工盗窃,用户密码就会泄漏。 国内外大网站都发生过因黑客或是内部员工导致用户数据的泄漏问题,用户密码一旦泄漏对于电商网站或是支付网站的影响是难以估量的。
为了保护用户密码,早期人们使用MD5算法把密码加密后保存,通常计算MD5值时会加一个”盐值“(即一个固定的密串),这个盐值可能是共用的,也可能是一个用户一个盐值。
MD5(密码+盐值),这样形式的密码储存方案在早期基本上是密码存储的一个通行标准,国内多数网站(包括大型电商和支付网站)早期都采用的是这个办法,如果没有更新的话,现在很多网站依旧是这个方案。
这样的方案有什么不对? 1,对于黑客入侵或是内部员工,能拿到用户数据的人,很容易就拿到盐值 2,虽然黑客不能反解密码,密码通常有一定的规则,诸如大小写数字六位数以上等,黑客可通过排列组合一个一个的试,暴力破解,因为MD5值的计算速度很快,对于六位数密码,很容易攻克。 注意:这个暴力破解是在离线运行的,在线的暴力破解很容易阻挡。 被攻击的网站没有感觉,如果用比特币挖矿的矿机,这样的破解轻而易举,没挑战。
你会说,MD5不行,SHA1也被谷歌破解了,SHA256 密码加盐值这样可靠了吧? SHA256 密码加盐值也不安全。 因为,MD5,SHA1,SHA256就不是用来保存密码用的, 是用来校验数据完整性用的,三个算法的计算速度都很快,试想一下,校验一个4G的ISO镜像文件,必须要有高效的计算速度。
因为算法效率高,速度快,也就降低了暴力破解的难度。
正确的做法是使用bcrypt算法, bcrypt算法的优点是计算速度慢,没错计算速度慢, 还可以通过参数调节速度,要多慢有多慢。
普通的电脑每秒可运行数万次SHA256计算,bcypt算法通过参数设置可以调整为计算一次耗时1秒。 这样大幅提高了暴力破解的门槛,增强了安全性。
这里有个比特币矿机配置,供参考, 以便提高安全意识: 型号:HashFast Sierra Batch 2 价格:7080美元 功率: 780瓦 性能: 1200 GH/s (每秒可运行1.2万亿次SHA256计算)
挖矿机挖矿
挖矿可以理解为,一台电脑计算一道数学题的过程,成功破解后则获得程序预先设定的奖励,给予的奖励可以称为虚拟币,整个过程被称为挖矿。
因为虚拟币具有唯一性,整个系统具有完备的记账系统,可以用在系统内,或者说共识下,作为交易环节的中介,也可以作为某种程序运营结果的标记或通证!