暴力破解 Wordpress 密碼需要多長時間?
我不是密碼學專家,我是一名網路開發人員,試圖確定 Wordpress 部落格黑客的起源,以及它被暴力破解的可能性有多大。
管理員帳戶使用者名已從預設的“admin”更改,密碼是 8-10 個字元,包括混合大小寫的字母數字字元和符號(密碼已更改並延長了長度)。
出於好奇,我正在查看據稱估計破解密碼需要多長時間的網站。據說:
範例密碼:
Vr%*zSR7mb
- 長度:10 個字元
- 字元組合:77
- 每秒計算:40 億
- 可能的組合:7 quintillion
58年破解
但這在現實世界中意味著什麼?
該網站似乎被一家競爭對手公司入侵,其網站糟糕,英語很差,我猜它來自東歐、非洲或亞洲(基本上,甚至不是真正的競爭對手,而是試圖在同一行業開展業務的人) . 他們所做的只是發布 2 篇寫得不好的內容來宣傳他們自己的網站。
如果暴力破解密碼需要58 年,那麼按照這個估計,密碼被暴力破解顯然是不可行的。
- 一台電腦可以進行多少次計算?
- 普通黑客可以獲得什麼樣的計算能力?
- 黑客如何能夠利用多台機器的使用?
如果競爭對手想破解一個網站,對於沒有經驗的人來說,下載和使用工具來暴力破解密碼有多容易?在較貧窮的國家向某人支付便宜的錢來為您執行黑客攻擊有多容易?
這裡的底線是我覺得對一個相當無用的部落格進行暴力攻擊,以便發布可能根本不會產生任何回報的相當無用的內容,不太可能。
問題是我對蠻力攻擊的現實以及它們執行的容易程度知之甚少。如果這是任何人都可以在短時間內快速簡單地執行的東西,那麼聽起來可能就是這樣。否則,我希望能夠排除暴力攻擊並查看更有可能的選項,例如某人的機器被鍵盤記錄器破壞。
如果密碼是包含字母數字和一些符號的 8-10 個隨機字元,則熵的下限估計值將類似於 48 位(8 個以 64 為基數的隨機字元)。再加上 WordPress 的弱 8 輪 MD5,這只是超過 50 位的安全性。不是很安全。
像您認為的資源不足的攻擊者可能會在幾週內破解它。如果他們與電腦無關。或者他們可以購買一些雲計算資源來完成這項工作。根據這篇博文,一個 Amazon GPU 實例(幾年前)每秒可以計算大約 20 億個 MD5 雜湊值。使用八個實例,您將在 24 小時內覆蓋搜尋空間。如果那樣的話,那可能要花一百美元。(您也可以通過更多實例更快地完成此操作,而不會顯著增加成本。)
但是,如果您假設所有可列印 ASCII 中的 10 個字元的高端(95 種可能性),您將擁有一個 65 位強密碼。這將花費超過一千萬美元的蠻力。所以實際的熵是相當重要的。如果初始密碼不是使用隨機數生成器生成的,那麼它的熵可能遠小於您連結的站點所預測的值。
雖然有可能,但暴力破解密碼聽起來像是 WordPress 部落格被入侵的不太可能的方式之一。WordPress 本身、某些外掛、PHP、SQL 數據庫或其他一些軟體中的未修補漏洞似乎更有可能。或者在共享主機的情況下,甚至從另一個帳戶進行權限提升。