作者StubbornLin (Victor)
看板GameDesign
标题Re: [问题] 线上游戏输入帐密的问题
时间Wed Feb 21 15:27:30 2007
※ 引述《m1314213 ()》之铭言:
: 想请问一下
: 目前的线上游戏输入帐号密码是否有在输入帐号密码时会加密之後再送封包出去?
: 这样是否会增加LOGIN主机的负担?
关於我说的那个方法
我还是重新发一下文好了 XD
-------------------------------------------------------------
假设密码是 1234
随机字串是 abcd
Client Hacker Server
拦劫
↓ 发送一随机字串
←─────────────────┘
这时候
Client : 密码 code
Hacker : code
Server : 密码 ode
-------------------------------------------------------------
Client Hacker Server
拦劫
Md5("123"+"abc") ↓
└─────────────────→
这时候
Client : 密码 code Md5(密码+code)
Hacker : code Md5(密码+code)
Server : 密码 code Md5(密码+code)
如果Hacker要连线,code下来又不一样了
这个旧的Md5值已经没有用了
这样的情况下,Hacker想要得知密码,除非能够逆Md5的函数
或是用暴力法跑出一样的Md5
但是那个密码的部份...不一定会和原本的一样
所以比较担心的就是暴力跑密码值比对Md5的方式...
试出其它刚好Md5值也一样的字串其实是没有用的
因为那个字串不一定会刚好就是密码 当其它code发下来和这个算出来的密码合并
做Md5几乎不可能再巧到刚好Md5出来又一样
我以前有看到一个聊天室的原始档和资料库 XD
不过密码有被他自制的函数打乱,闲着没事我就写一个程式
跑他自制函数去比对,果然XDD... 比对出来可以登入
密码可能是很奇怪的字e\7@qrt^ 像这样之类的密码
正常人绝对不会用的密码 XD
然後呢,可以正确登入 XDDD
但是!...很多时候都能跑出原本的密码来....= =|||
所以要研究的话...就要研究看怎样用暴力法比较难跑出原本的密码来
然後code的长度也有影响,乱的程度当然不用说 这是必要的 XD
发两个同样的code那就死掉了...
以上是我在想登入问题时想到的方法,叫什麽名字我也不知道 XDDDD
至於安全程度还要再研究 或是改良
但是! 至少是一个简单快速的做法
而且光这样就增加相当的破解难度
挡掉99%以上的工具使用者 XDDD
--
VICTOR工作室 |
PTT游戏设计版隆重开幕!
|
不管是新手老手,程式美工音乐企划....
URL :
http://www.kinmen.info/vic/ |
都欢迎来游戏设计版参与讨论 XD
|
战略高手>
C/C++ |
GameTopics>
Visual Basic 6.0 |
GameDesign
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 59.116.65.83
1F:→ yuleen123:剩下的 1% 就是 key logger Orz~ 02/21 16:22
2F:→ StubbornLin:我指的是拦封包的人啦 XDD 02/21 17:47
3F:→ StubbornLin:Logger的话我有写过 XD 那时天堂正流行 国中时 02/21 17:48
4F:→ StubbornLin:我同学拿去装在网咖盗别人帐号 然後好像被逮了= =|| 02/21 17:48
5F:→ StubbornLin:听说赔了不少钱 囧|||.... 02/21 17:49
6F:推 kaiwae:其实..MD5已经被破解了:P 02/22 14:13
7F:推 littleshan:不能说破解 只是找出 collision 的方法吧 02/22 14:59
8F:推 StubbornLin:MD5可以替换成其它任一不可逆的函数 02/22 18:02
9F:→ StubbornLin:死一个MD5 还有千千万万个MD5阿 02/22 18:02
10F:→ StubbornLin:我相信 做到这个程度 就可以让想由这方法破解的人放弃 02/22 18:02
11F:→ StubbornLin:改用其它更"经济"的方法 XD 02/22 18:03