根据decode360的解释，简单介绍下破解360密盘的原理（如果dec360没说谎的话）求证官人

√×√×√√×

leisong 发表于 2010-12-30 10:23
回复 16楼 √×√×√√× 的帖子

你的意思和破解者说的不矛盾啊

当然不矛盾，没搞懂我的意思，我的的意思是对某些人所说~

作者也没建议去用AES什么的高级算法，也只是说希望使用其他通用算法而已。而某些人就借此机会，伪装高手，根本不考虑算法的使用性就来推荐这个推荐那个，以显示自己是技术达人。这样让人很厌恶。

破解者的逻辑是没有问题的，我针对的是某些人的逻辑。http://bbs.kafan.cn/thread-877872-1-1.html

leisong

回复 18楼 √×√×√√× 的帖子

你再看下我19F的疑问
只要存在联网找回密码功能，那么破解密码永远只需要破解360自身算法就够了，而无需破解那个10万年才能破解的高级算法，无需纠结破解那个高级算法到底是否需要10万年

人家正是指360自身的算法出问题

comicwm

回复 15楼 leisong 的帖子

如果使用AES算法加密解密时间是最大的问题，同时密钥的保存问题依旧。
最好的加密系统是不应该提供密钥找回机制的，但是这点是不能用在一般用户身上的。
简单的异或算法其实不是关键，关键的是密钥的保护。我觉得可以使用复杂的内部算法加密密钥或者将密钥纳入360卫士的保护。

PS:那个破解是弄到了密码，并没有直接针对算法破解。。。（密钥改为48位以上他也没辙了）

√×√×√√×

leisong 发表于 2010-12-30 10:29
回复 18楼 √×√×√√× 的帖子

你再看下我19F的疑问

准确的说应该是算法的存储性的问题，而不是“加密性”问题，我觉得应该说明的更准确点。这样容易引起误解，同时给某些人带来借口。

√×√×√√×

chaezoy 发表于 2010-12-30 10:27
回复 18楼 √×√×√√× 的帖子

感觉那个破解有问题吧，按照描述说可以得到“三次重复的16bit密钥”。

对，就是这个意思。利用某种漏洞也就是BUG。。。。（当然破解者不愿称之为BUG） 获取到了钥匙，打个比方就是破解者没法复制你的钥匙（算出密码），而是使用钥匙以外的方式获取到了保险箱里的东西。

leisong

comicwm 发表于 2010-12-30 10:31
回复 15楼 leisong 的帖子

如果使用AES算法加密解密时间是最大的问题，同时密钥的保存问题依旧。

正是如此，任何密码找回机制都提供了破解密码的另外途径，这让原本的加密强度成为摆设

所以破解者说的有道理
你们说的也有道理：这个方法不能用在一般用户身上，360应该是考虑到上亿的用户中万一有人丢失密码的问题

这个问题提起出现真是好事

comicwm

回复 17楼 leisong 的帖子

利用ntfs分区48个0可以推算出密码。
就是已知的原文，用已知的算法加密，得到密文，那我就可以得到密钥。
由于使用异或算法，密钥有只有16位，所以

lwzy2046

回复 25楼 √×√×√√× 的帖子

总而言之，不管某些人的某些借口或者发挥
就像L和jef说得，这样的短板如何克服？
不断维护360自身储存密码的安全性？

ps：另外插一句，绑定账户后，密码如果不随着去云端，那怎么取回？如果去了云端，那不就等于360掌握了用户的密码了么？

chaezoy

回复 27楼 comicwm 的帖子

密钥应该是16字节也就是128位啊……
要是16位的话的确可以被破解，不过改成24位以上那个作者就悲剧了。

lwzy2046

comicwm 发表于 2010-12-30 10:31
回复 15楼 leisong 的帖子

如果使用AES算法加密解密时间是最大的问题，同时密钥的保存问题依旧。

我也觉得360自保的强大可以用来
当然，小白只是这么想

虽说没有绝对的安全....但相比较云端那种，本地用自保来保护，似乎更费劲些把？