顯示廣告
隱藏 ✕
※ 本文為 scvb 轉寄自 ptt.cc 更新時間: 2012-05-29 20:50:33
看板 DIABLO
作者 jackshen32 (羅姆希特)
標題 Re: [閒聊] 驗證器沒用? 我給帳密,請來盜我帳號。
時間 Tue May 29 20:22:22 2012




   其實原理不會很難啦 稍微想一下就知道了

   密碼學裡面有提到 不管是什麼樣的密碼

   如果你有一定的規律 就一定可以破解

   例如大家應該有看過一種密碼

   是各種人 有的拿著旗子 有著擺著奇怪的姿勢

   這種密碼的概念其實很簡單 就是某個字代表某種圖形

   就好像是埃及的象形文字

   破解的方法也很簡單

   從密碼中找出最常出現的圖形 或者東西

   為什麼要找?

   因為通常一篇文章中最常出現的單字

   就是"the" 這個單字

   所以你密碼中最常出現的圖形 很有可能就是"the"

   用這種方式 如果搞錯了 就換出現次數次多的字來當"the"

   一定可以破解


   之後的密碼設計者發現了這個漏洞

   開始在密碼中加入一堆沒意義的字

   不過依然有規律 還是被破出來

   於是科學家發展了"奇迷"這種密碼機

   號稱完全不會破解

   但是還是因為人為習慣 等等因素被破解出來

   如果有興趣的觀眾可以自己去google奇迷 這又是另一個故事了

   總之到現在 大家知道 密碼這種東西最好是能隨機最好

   於是有人想出了一個方法

   給定一個"明文"


   就像是bob 要傳送一段訊息給alice

   他會先傳一段明文給alice 這段明文就算被攔截也無所謂

   然後 bob在想辦法把key傳給alice

   比如說 bob傳了一串數字給alice 分別是1234

   之後他私下再傳一個key 裡面的內容就是告訴alice

   1=f

   2=u

   3=c

   4=k

   當alice收到這串key 就可以破解明文 知道bob這個賤人在罵他

   而從中攔截者 只會收到1234這樣毫無意義的文字而已

   "碼書" 這本書裡面有提到一則故事 實際怎樣我也忘了

   大至是說 有個人挖到了很多很多的黃金


   但是他不敢用"寄"的把黃金寄給一個朋友

   所以他把黃金埋起來 再把一段無意義的文章寄給他朋友

   文章裡面除了是一段沒啥意義的文章之外

   也告訴他朋友十幾年後 會有一封信寄到他這裡

   他朋友就可以靠那封信裡面的key 去破解這篇文章

   來找到他埋藏的大量黃金

   可惜 最後那篇key並沒有寄到

   他埋藏的黃金也沒被發現

   於是他朋友就把文章po到ptt 阿不是

   是寄到報社 請報社公開 讓大家來找這份寶藏

   他朋友還附了一段說明很感人

   他說他為了找這個寶藏 整天都在破解密碼

   弄到家破人亡 妻離子散 他還是堅持在破密碼

   到了最後 他才發現他為了這一串密碼 弄得自己什麼都沒了

   他也提醒破密碼的 不要廢寢忘食 當作娛樂就好

   不會像他一樣毀了一生

   離題了 回來原本的內容

   那篇無意義的文章 就是"明文"

   而那封沒寄到的信 就是"key"

   裡面可能寫著 文章第幾個開頭英文字母 是我埋藏地點的第幾個英文字

   也就是說 一定要有key 才能破解明文

   如果有看過國家寶藏 應該也會有點印象

   這種技術也給之後的量子密碼 埋下一個伏筆


   今天驗證器的方法也大致如此

   你的遊戲密碼 就是"明文"

   就算真的被木馬程式攔截到 也毫無意義

   因為有明文 進不了遊戲 還要最關鍵的"key"

   那為什麼這key木馬攔不到?

   bz很聰明 他把"key" 用另外一種木馬攔不到的方式寄出

   從驗證器 從手機 總之就是不要經過電腦

   這有什麼好處?

   就算你攔到密碼 你也攔不到驗證器的數字

   就算你攔到驗證器的數字 也攔不到密碼

   而驗證器的數子 隨機產生就好

   根本不是重點

   當你登入 把遊戲密碼輸入遊戲以後

   你的驗證器會發送驗證碼 你再輸入驗證碼

   你就進去了

   木馬攔不到驗證碼 所以進不去

   那要破解的方式是什麼?

   1. 先攔截到bob的遊戲密碼 再在bob家安裝無線封包攔截器

      除此之外 要篩選過周遭所有人的無線封包

      找到bob的無線封包 在從幾千萬個封包裡面找出密碼

      然後在bob輸入完畢前 輸入完畢

      難度實在太高

   2. 直接駭進bnet

      在bob的驗證碼一產生馬上輸入帳秘+驗證碼 直接登入遊戲

      這就比較簡單 或許吧

      這就是為什麼bnet打死不肯承認有驗證器還會被盜

      一方面因為本來就不可能

      另一方面是因為如果被盜 就要承認bnet被駭

      不過bnet被駭可沒有這麼簡單

      就算被駭了 要攔截到三十秒換一次的密碼難度也非常高

      所以驗證器是很安全的 雖然沒有百分百 但是就像推文說的

      99.999%不會被盜

      除非大陸網軍入侵bnet 才有可能 XDD


      美軍第一次世界大戰的時候也用過類似的方式

      她們在傳遞密碼 用的是一種極為罕見原住民語言

      攔截到的人 只會聽到一堆積哩咕嚕的話

      但是美軍的基地接收到 就會請原住民把這段話轉成英文

      所以她們的密碼非常安全

      那堆積嚕咕嚕的話 就是明文

      而守在接收台旁邊的原住民訊號接收員 就是KEY


      還沒辦驗證器的 快去辦吧

      不管是實體還是手機

      帳號安全還是很重要低!

      話說上面的資訊如果有錯誤 請不要鞭太兇

      距離我修量子密碼 已經是很久遠以前的事情了 XDDDDD

      密碼學真的很有趣 很陰險狡詐

      有興趣的 可以去租"碼書"來看

      不過我知道你沒興趣 還是快打D3吧!!!!!


--
fdtu0928:幹,我笑了...                                           12/07 19:03
bonaless:五樓都幫  樹                                         12/07 19:06
ArSaBuLu:我上次看Discamry 樹懶應該不會叫才對吧...               12/07 19:07
biblecross:Discamry..是反toyota的組織嗎                         12/07 19:14
lithaimo:xD                                                     12/07 19:16
fu73109:有點後勁                                                12/07 19:20  

--
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 114.32.193.143
※ 編輯: jackshen32      來自: 114.32.193.143       (05/29 20:22)
Xenogamer:雖然看不懂還是推1F 05/29 20:23
venvendoggy:看在這麼多字的份上推一下2F 05/29 20:23
howar31:世界上所有密碼都可破 只是破解的成本和時間問題而已3F 05/29 20:24
gidin:雖然END了 但是字好多給你推4F 05/29 20:24
wulouise:...現在encoding不是用這套..5F 05/29 20:24
howar31:只要讓破解成本和時間高到一個程度 這種密碼就算可用6F 05/29 20:24
rufjvm12345:推Bob Alice7F 05/29 20:24
h22212247888:長知識8F 05/29 20:24
onemore:你講這麼多 被盜的人還是會找出100個合理化自我習慣的理由9F 05/29 20:25
LordSo:說故事 XD...  其實整個安全層級結構真的算簡單10F 05/29 20:25
dkchronos:這些要有修過密碼學的才聽得懂....11F 05/29 20:25
jackkiller:長知識!!12F 05/29 20:25
lovinlover:計算機概論學過13F 05/29 20:26
hoe1101:老實說我只想知道怎麼破解某些RAR的密碼14F 05/29 20:26
Abre:不是不平等鑰匙理論 ?15F 05/29 20:26
LordSo:應該不需要修過密碼學啦...大概要點理工跟數學背景16F 05/29 20:26
hfslyc:推bob和alice哈哈17F 05/29 20:26
trigungo:有些地方錯誤 因為駭客生不出你的驗證碼18F 05/29 20:26
Mentha:感謝,總覺得學到好多有趣的知識19F 05/29 20:26
cosmosQQ: 據說V型辯證器難以破解...教官講的orz...狗軍20F 05/29 20:26
STi2011:XDDDDDD 驗證器跟原住民這個有懂到 XDDD21F 05/29 20:27
yuanwu:尼可拉斯凱吉 演的獵風行動 windtalker(好像吧)就是用這種22F 05/29 20:27


     HOW大說的是對的

     只要時間成本到一定的程度 就可以使用

     沒有破不了的密碼 只有破很久的密碼

     希望你不是我的量子資訊老師

※ 編輯: jackshen32      來自: 114.32.193.143       (05/29 20:27)
dolj:推,不過是要姑狗"奇謎機"23F 05/29 20:27
a654:....現在驗證不是用這個...驗證器跟手機沒有發東西.24F 05/29 20:27
newlag:管你是對等or不對等key, 反正對密碼的黑盒子演算法都是一樣25F 05/29 20:27
brolli:這也是為什麼找出一個新的巨大"質數"多麼浪漫!26F 05/29 20:27
trigungo:我沒看清楚  眼花了 沒事 忽略我 XD27F 05/29 20:27
tequilawu:專業推28F 05/29 20:27
scorpio0920:我沒修過密碼學,但是敘述方式讓人覺得有趣,給推!29F 05/29 20:27
newlag:反正去google RSA 就可以查到一堆東西30F 05/29 20:28
howar31:破解RAR 我有五分鐘破過一個的 也有十年破不出來的31F 05/29 20:28
newlag:所以後人一直說當量子電腦出現時, 現有密碼學的128bit強度32F 05/29 20:29
newlag:就會不夠啦~ XD
howar31:量子電腦出現後 現行密碼制度會全部被打破34F 05/29 20:29
Mahoutsukai:量子電腦目前好像只有兩台 都被軍火公司買去35F 05/29 20:29
lovinlover:找一個巨大質數很簡單 判斷一個數是不是質數很難36F 05/29 20:30
Mahoutsukai:軍規衛星通訊搞量子加密和解密很久了 但都是地下化37F 05/29 20:30
Simonfenix:我記得有一種電子金鑰卡是根據時間多久換一組驗證碼的38F 05/29 20:30
toughdick:所有都可以破解好嗎   時間長短而已39F 05/29 20:31
howar31:toughdick大大在幹什麼 你說的上面都講過了40F 05/29 20:31
hoe1101:toughdick要不要說一下驗證器大概需要多久才能破解?41F 05/29 20:32
roea68roea68:那個id就不要認真了吧ww42F 05/29 20:33
toughdick:看完文直接推了  我也不跟www宅認真的43F 05/29 20:33
AirPenguin:專業推44F 05/29 20:34
opmikoto:花2.3年時間破解一個遊戲密碼  這值得嗎45F 05/29 20:35
jamupme: 是在看國家寶藏喔..... 沉默杜古德46F 05/29 20:38
reDQ6:推~~長知識47F 05/29 20:40
AirRider:整偏廢文,重點只有一個,就是密碼可以破,END48F 05/29 20:40
dkchronos:NP-Complete49F 05/29 20:41
C741214520:推原PO很宅50F 05/29 20:41
seisai0121:文筆不錯阿 那個噓的人看都沒看吧 ㄏㄏ51F 05/29 20:41
bill42362:驗證器好像不用通過網路喔 只有最一開始裝才要52F 05/29 20:42
GANA:推bob Alice 好不親切XDD53F 05/29 20:43
H45:你確定驗證器的運作方式真如你所說的嗎?? 確定嗎?? 這麼有把握54F 05/29 20:47
scvb:你不信也沒辦法了55F 05/29 20:49

--
※ 看板: DIABLO 文章推薦值: 0 目前人氣: 0 累積人氣: 2363 
分享網址: 複製 已複製
1樓 時間: 2012-05-31 17:41:55 (台灣)
  05-31 17:41 TW
他版已有人發文表示用驗證器被盜 http://tinyurl.com/7setpkr
guest
x)推文 r)回覆 e)編輯 d)刪除 M)收藏 ^x)轉錄 同主題: =)首篇 [)上篇 ])下篇