散列信用卡号

今年三月,我发表了 白皮书 研究一些应用程序如何对信用卡号进行亚美处理,以及这些亚美对暴力破解的脆弱性。 我开发了一个概念证明来大致估计时间(大约每秒200万个亚美)。 展望未来,我估计通过额外的优化,多线程和更快的处理器,每秒可以实现5000万个亚美。

好吧,我的未来估计可能至少差了5倍。  Elcomsoft 在本周宣布,它已经为一项使用技术申请了专利 the "大规模并行处理" capabilities of 的GPU on a video card to brute force passwords.  其他 也一直在这方面做研究。

更好的估计是,对于SHA-1或MD-5单次通过至少每秒2亿个亚美,如果有人在不久的将来能够达到每秒5亿个亚美,我也不会感到惊讶。 这将使某人仅用10天(而不是3年)就可以将所有可能的未盐化SHA-1散列暴力破解。 加上有关品牌和通用发行银行前缀的情报,大多数蛮力时间都减少到了几分钟或几秒钟。 存储纯文本数字(前缀和/或最后4个数字)会使暴力行为变得微不足道。

在对信用卡号进行亚美处理时,必须精心设计亚美表,以通过使用强大的加密亚美函数,较大的盐值和多次迭代来防止暴力破解。

 Share this post