盗号者利用已知帐号反复盗取密码原理
发布人:admin 时间:2021/04/11
已阅读 次
盗号者利用已知帐号反复盗取密码的原理及防范措施
(b不过木马也是盗号的一个祸害
盗号者是冒险岛一大害,而许多人都深受其害,自己辛苦练来的帐号被盗号者知道了以后反复被盗,装备点券一次又一次被洗,于是许多人都说:号被盗一次之后此号就废了。知己知彼,方能百战不殆,反复思量,于是写下这篇文章,不正之处请广大玩家指正。
首先,我想质疑几个网上流传已久的关于帐号反复被盗原因:
1、用盛大的历史密码找回功能反复盗号。
这个可能性不大,对于历史密码找回,盛大是人工核对你曾经用过的密码与你现在提供的密码的,判断的主观性很强,而且最少是要你提供的密码占到曾使用过密码的50%以上,所以这个方法虽然有可能实现,但是对于盗号者的意义不大。
2、盗号者与GM勾结盗号。
首先要明白的是GM为什么要和盗号者勾结?如果说由盗号者提供帐号,GM提供密码,那这一点就不成立,GM根据角色名就可以知道你的帐号,他根本没必要由盗号者来提供帐号。
3、机器的木马没被查杀干净,所以反复被盗。
这或许能解释部分玩家反复被盗的原因,但绝不是全部,许多玩家号被盗后都有重装系统或者在别的机器上再次修改密但依然无济于事。
。。。。。。。。。。。。。
不知大家是否注意到,绝大多数人的号被盗以后有两个主要的特征:
1、密码被修改
2、装备和点券被洗
从此看来,大多数盗号者盗号的目的不是想占有你这个号,而是号上的装备和点券,我见过个别的聪明的盗号者只拿点券,其他一概不动,有些玩家如果不是因为密码被改可能一下子还不知道自己被盗了。既然如此,那他们为什么在盗了号以后还要修改密码呢?这就是他们在盗号的时候根本不知道此号本来的密码,他们是在把号的密码修改成自己的密码之后才进入游戏盗取装备的。
修改密码我们都知道,很容易,盛大有个专门修改密码的页面:
http://61.152.103.227:8081/changepass/
相信很多人都在这里改过密码,但正是这样一个毫不起眼的页面却为冒险岛无数帐号埋下了祸根。
关键问题还是盛大密码的安全性太差,主要体现在:
1、密码只能是字母、数字的组合。
2、字母不区分大小写
3、长度限定在4~10位
4、没有限定每天的密码尝试修改次数
所以盗号者完全可以自己写程序或者利用已有的一些在线破解工具对此页面的“当前密码”一栏进行暴力尝试,不断的变换着当前密码并反复提交,不要想着有多复杂,这是很简单的事情。
下面列举出一些盛大所允许的字符集与密码长度在暴力破解情况下所需要尝试的最大次数,我们再假设一分钟可以尝试10万次(这个密码修改页面具体可以达到多少次我也不清楚,没试过,这里是假设,但在网速足够的情况这是保守估计),来计算修改掉密码所需要的最大时间。
1、密码为全数字,密码长度为6,最大需尝试1000000次,最多需要10分钟
2、密码为全数字,密码长度为7,最大需尝试10000000次,最多需要100分钟
3、密码为全数字,密码长度为8,最大需尝试100000000次,最多需要1000分钟
4、密码为全数字,密码长度为9,最大需尝试1000000000次,最多需要10000分钟(1个星期)
5、密码为全数字,密码长度为10,最大需尝试10000000000次,最多需要100000分钟(2个多月)
6、密码全为字母,密码长度为6,最大需要尝试308915776次,最多需要3090分钟
7、密码是字母和数字的组合,密码长度为6,最大需要尝试2176782336次,最多需要21768分钟
。。。。。。。。。。。。
其他的自己算(另外如果结合优化破解与字典破解破解所需时间也将大大缩短):
所需尝试次数=(密码字符集大小)的(密码长度)次方