題:
4盤密碼鎖:將其歸零或在鎖定後盲目地旋轉轉盤是否更安全?
Peter Schilling
2018-04-13 19:05:23 UTC
view on stackexchange narkive permalink

對於由四撥號組合鎖(例如 this one)保護的某些資源,我負有部分責任: Lock

有兩件事人們通常會在鎖定後執行以下操作:

  • 將所有數字重置為0,以便組合顯示為0000,或者
  • 在錶盤上混搭a

我強烈感覺到兩者之間沒有功能上的區別,但我鼓勵我制定最佳實踐。那麼,假設鎖具有隨機密碼,並且在沒有輸入正確密碼的情況下幾乎牢不可破,那麼哪種方法更安全?

摘自[凱文·米特尼克(Kevin Mitnick)的密碼鎖名片](https://www.mitnicksecurity.com/shopping/kevin-mitnick-lock-pick-business-card)(我有兩個,一個未完成),並觀看[視頻](https://youtu.be/D7jwY81-gQY)了解如何,任何人都可以在幾秒鐘內選擇175d...。不必擔心您如何重置撥盤。
如果組合為0000,請勿將所有數字重置為0!;-)
將其清零並將組合設置為0000。
如果您實際上是“負責”寶貴的資源,請立即“擺脫”那個糟糕的鎖,根據值將其替換為合適的高質量防篡改掛鎖或合適的保險箱。使用糟糕的鎖沒有意義,任何人都可以在30分鐘內將其破壞。更糟糕的是,如果您知道如何將許多此類密碼鎖在1分鐘之內弄壞,就像* Chris Johns *在他的回答中所描繪的那樣。
如果可以在錶盤之間插入金屬薄片,則很容易摘下
這些鎖(通常是密碼鎖)是不安全的,通常是由於與猜測密碼無關的漏洞利用。
BosnianBill有一個很好的錄像帶..他知道鎖。https://www.youtube.com/watch?v=L0QuuGRbUbU。這是另一個有關Master 175和克隆的信息:https://www.youtube.com/watch?v=LIgk-TN6WXM
AndrolGenhald的拇指必須大於我的拇指,該拇指覆蓋兩個輪子。因此,我通常先移動左兩個輪子,然後移動中間兩個輪子,然後再移動右兩個輪子-改變方向-並重複幾次該循環。
@Michael會讓您倒退:始終保留組合設置,並且由於沒人相信您將其保持解鎖狀態,因此他們在嘗試解鎖時總是會鎖定:-)
如果您期望熟練的攻擊者,則可能希望將其設置為“假集”;如果您可以讓他們接受錯誤的第一位數字,則其餘的攻擊時間將被浪費掉。
出於某種原因,我有一個醫療用公文包(繃帶,各種藥片等),其代碼為“ 0000”。我不知道我對這篇文章的看法。
@user21820:為什麼?我總是在存在印象鎖的情況下,其唯一目的是向保險公司提供被盜物品受到保護的證據。自從我意識到凹凸鍵後,我就不再信任按鍵了。當然,對於業餘愛好者來說,這是一種威懾力量,但是對於那些精通鎖具並有經驗的人來說,機械鎖完全沒有問題。
@0xC0000022L:我認為這是一個荒謬的原因。首先,保險公司將如何檢查損壞的鎖實際上是“保護”被盜物品的鎖?其次,最具有諷刺意味的是,如果您聲稱這些鎖根本沒有問題,那麼保險公司可以根據自己的主張很好地將被盜物品視為不受保護。畢竟,每個鎖都可以用足夠強大的工具從字面上破壞,而不會被“破壞”。= P
@0xC0000022L:我的意思只是說,鎖或您採用的任何安全措施,其破壞成本應與保護值相同。從它的聲音來看,請求者負責一些“相當”寶貴的資源,並且使用這種糟糕的鎖非常不相稱。
@user21820:'違反您的“ 30分鐘”評論是危險的高估。確實接近15秒;設計用於抵禦盜竊而無需每30分鐘由警衛人員檢查一次的保險箱,必須通過TL-30的UL評估。這是來自評級實驗室的有趣視頻:https://youtu.be/OtbGUbeM860。這是一個相當昂貴的單位。所謂的B級或C級“保險櫃”(缺少定義的測試程序,因此只是流行詞)在15分鐘內無法保持。當組合丟失時,我們由安全匠在大約10分鐘內完成了C級開放。他獨自使用手持式電鑽。
-1
@user21820:為什麼,我做到了。但是我聽到你了,沒有意義。
@0xC0000022L只有沒有安全銷的鎖才可以被撞開或傾斜,否則,唯一的選擇是單根銷。儘管有些人看起來很輕鬆,但現實是這需要大量的實踐和技能。有諸如Abloy鍵槽之類的異國情調的設計,特別難選。沒有安全是完美的,但是實際鎖比您想像的要好得多。
不確定是否存在此類鎖的更安全的變體,但我一生中偶爾遇到的那種,很容易被暴力破解。它不需要任何工具,在鎖定機制上施加了一些壓力,然後每次嘗試組合都可以解決問題。
考慮了一個星期,這不會有任何變化。有10,000個組合,其中一個是開瓶器,還有9,999個其他組合將無法使用。將組合放在任何地方都將是“安全的”,因為0000與另一個4位數字一樣是隨機錯誤。另外,就同事而言,再次發現0000對某些人來說是浪費時間,這是正確的,而且他們也不會打擾。會有什麼後果?
從高中畢業後,我只有確定鑰匙才能睜開很多眼睛。計數器中的轉子有一個切口,一旦您開始看到它,其編號為+5 mod 10
十二 答案:
AndrolGenhald
2018-04-13 19:19:32 UTC
view on stackexchange narkive permalink

我建議將其設置為0000或其他指定的組合(實際上無關緊要)。

“在錶盤上混搭”有點模糊,但我會根據自己的猜測人們傾向於同時移動大部分或全部轉盤的行為,這將在當前組合和鎖組合之間產生強烈的關聯。例如,如果鎖組合為1234,則有人可能會將其更改為5678(可能不完全相同,但足夠接近以使攻擊者可以優先考慮他們嘗試的組合)。

人類也傾向於認為某些組合當事物似乎實際上削弱安全性時,它們就會變得更加安全。有人可能會嘗試將其設置為從鎖組合看來“更遠”的組合,例如將1234更改為6578而不是2142,因為2142太“接近”了鎖組合。這可能使攻擊者可以優先考慮他們嘗試組合的順序。指定一個常數值進行設置可以避免此類問題。

而且如果組合為1234,則在改組後可能沒人會把它設為x2xx。攻擊者一次又一次地在鎖定上記錄數字,並可以基於該數字創建可能的數字的配置文件。
@ThoriumBR如此。大多數人甚至可能故意避免顯示部分代碼。我只需要看著您旋轉鎖六次以精確縮小使用的4個數字,那麼我只有4 * 3 * 2 * 1 = 24個組合可以測試。由於您對安全性的錯誤認識,您剛剛完全破壞了安全性。
簡短的版本:RNG中的人類甚至比計算機還差,即使我們認為不是這樣。
在現實世界中,這兩種選擇基本上是等效的,因為如果有人確實非常想違反法律,那麼他們就不會進行統計或花費數小時嘗試每種組合。他們將使用撬棍或鑽頭。
實際上,設置0000可能更好,因為它將向攻擊者表明他們應該繼續前進到更容易的目標。即使攻擊者沒有破解您的代碼,您也不想遇到他們的嘗試。
@BlueRaja-DannyPflughoeft除非他們每隔一周要偷東西,否則就會錯過一些東西,沒人會大驚小怪。
@ThoriumBR,就是CGCampbell的評論中提到的[lockpick卡](https://www.mitnicksecurity.com/shopping/kevin-mitnick-lock-pick-business-card)的目的。
關於人類確保沒有任何組合數字屬於“隨機”錯誤組合,在第二次世界大戰中,德國人在其Enigma機器中做到了這一點。他們確保字母永遠不會被編碼為自身。這有助於英國人破解密碼。
@CJDennis:僅僅把分裂謎團歸咎於英國是不公平的。
設置為0000並沒有多大作用,如果有人想解鎖,則使用小刀來找到門以及結合起來的組合相當快(大約40秒)。設定特定的組合後,速度不會變快或變慢。想要進入而不會造成損害的人不太可能“嘗試”一堆組合。
除非您的密碼鎖本身是0000。
每個人都缺少的是,正確組合和一些混搭導致的不良隨機鎖定狀態之間的相關性在很大程度上是不相關的。如果按順序確定了正確的數字,那將是一個問題,因為了解一個數字的鎖定狀態與打開狀態之間的關係會為您提供一些有關其他數字如何旋轉的信息。但事實並非如此-整個鎖立即打開,“相關模式”的空間(如所有旋鈕+1或+2或某些+3以及其他-3)很快變得太大而無法產生任何實際影響。
@KamilDrakari這是您可以給人們的鏈接,以清楚地證明這一事實,以及通常預測人類的難易程度:http://web.media.mit.edu/~guysatat/MindReader/index.html
不幸的是,0000會導致某些錶盤在其整個使用壽命中移動得更多,導致我認為是可檢測到的磨損。
Chris Johns
2018-04-14 00:31:28 UTC
view on stackexchange narkive permalink

從理論上講,調零或任何預定的順序都將更加安全,從理論上猜測某人可能會將撥盤移動多遠。

也可以想像,如果您能夠檢查撥盤的位置,如果在足夠不同的情況下鎖定撥盤的狀態,那麼您可以縮小可能的組合的範圍,如果每次都以類似的方式將其重置。

在實踐中,這可能有點牽強,任何帶有密碼鎖的東西都可能引起更大的關注,例如,密碼被太多人知道​​,或者1950年至2018年之間的任何數字加上密碼的出生年份。

已經說過,將密碼設置為零可能會有操作上的好處,因為它給出了明確的指導方針,並且很容易從視覺上檢查鎖的安全性。無需進行檢查的人員就不需要知道密碼組合,尤其是在實際檢查鎖是否閉合的問題上(例如,打開鎖會發出警報)。您也可能會爭辯說,添加額外的清零步驟會創建更多例程,因此,人們幾乎不會忘記設置鎖,儘管這是值得商de的。

例如,如果您有一個夜間保安,您可以要求他們檢查所有鎖是否都設置為0000,這既易於操作又可驗證。

它還提供了一個(非常弱)檢查一下鎖是否未被篡改,在此情況下,更隨意的順序會更好。

例如,如果您在離開時將所有鎖都設置為2375,而當您離開時順序不同你回來了,你知道有人一直在和他們搞混。

您還應該意識到,某些類型的組合式撥盤鎖選擇起來非常瑣碎,因為通過快速循環每個撥盤或從外部探測,當每個撥盤接合時,您經常會感覺到。同樣,一個4撥號鎖只有10,000(10 ^ 4)個可能的組合,您通常可以非常快速地系統地進行組合。

這個答案是最好的,因為它考慮了實際的安全性,而不僅僅是數字本身的密碼安全性。
4撥盤鎖要花很長時間才能完成所有組合,市場上大多數鎖是3撥盤,只需系統地檢查所有組合即可快速打開。除兒童遊戲外,不得將3個撥號鎖用於任何其他用途。當然,任何撥號鎖都不是很安全。
如果您可以每秒1次的速度篩選4位數鎖上的密碼,則最多仍需要三個小時才能破解。但是,您來回翻轉的那些鎖之一(例如在儲物櫃上)有40個數字和3個數字。每次嘗試需要5秒,最多可以持續100小時。另外,這些鎖之一可以保留為任意數量,而不必擔心使其更容易破解。
您可能應該重做@RedwolfPrograms:。撥號鎖通常在系統中具有一定的容忍度,因此撥打相鄰號碼通常仍然可以使用。
@RedwolfPrograms,即使您無法感覺到銷釘嚙合或插入撥叉,您也應該能夠以每秒1的速度更快。
@OrangeDog我用了1秒鐘,以解決某些鎖需要您按下鎖或拉動桿來打開的事實,這可能需要幾秒鐘。另外,我的上述計算是最大次數
@TeroLahtinen,特別是如果您的4撥號鎖定設置為連續5次失敗後會引爆所有東西!
如果我們假設一次嘗試花費1秒鐘,那麼3個撥盤鎖定僅花費大約8分鐘即可打破(平均,最壞的情況是* 2),而4個撥盤鎖定則需要花費一個小時23分鐘。公文包中通常使用兩個3撥盤鎖,它只花費一個時間的兩倍,即平均16分鐘,一個4撥盤鎖要好得多。
我喜歡此方面的安全防護,因為他們可以自己驗證安全性而無需代碼。
-1
一般而言,@supercat撥號鎖的目的只是為了幫助誠實的人保持誠實,而不是真正阻止惡意的人。
@TeroLahtinen某些撥號鎖存在漏洞,同時嘗試撥號和打開鎖會提供一些反饋,告訴您單個撥號盤的位置是否正確。這樣可以比蠻力更快地打開鎖。
*中等知名度人士的出生年齡可能是一個不錯的猜測。*-這真的是常見的組合嗎?我根本不記得任何一個著名人物的出生年份。
@RedwolfPrograms, LieRyan關於單撥號鎖的說法。我熟悉的人有60位數字,3位數字和3位遊戲數字;所以20有3的冪的可能性;所以是8000。(因為第二個數字沒有全部20種可能性,所以略少了一些,第三個數字也沒有,但它接近了。)5秒=每小時720次嘗試,大約是11個小時。(我不知道5秒鐘是否準確。我聽說在一個大型會議/展覽會上有一個團隊製造了一個機器人來破解這些錯誤,但我不知道他們的時間是多少。)
@LieRyan:您正在處理哪些撥號鎖?我上高中的儲物櫃上的那些人確實拒絕打開,除非您正確地組合了。(也有一半的時間他們沒有打開,但是我很確定那是由於我的儲物櫃被塞滿了並且綁定了閂鎖機制,而不是由於鎖本身。)
jpmc26
2018-04-14 06:04:49 UTC
view on stackexchange narkive permalink

沒關係。

鎖可以提供三種保護形式:

  1. 使攻擊者無法訪問資源,以便可以中斷並阻止它們
  2. 提供篡改證據
  3. 勸阻潛在的攻擊者進行攻擊
    4. ol>

    正如在所有答案和評論中所討論的那樣,它並沒有做很多事情以延遲攻擊者的方式。鎖可以輕鬆地用工具切割,例如 10美元的一對斷線鉗。正如 CGCampbell評論指出的那樣,可以使用工具輕鬆地選擇它。

    它的易用性可以選擇也限制了其作為篡改證據的有效性。 其他答案指出,即使沒有挑選工具,它也很容易被擊敗。因此,它在這方面也確實失敗了。它表明內部的貴重物品並不意味著不受限制地進入,從而勸阻了那些道德意識或害怕被抓住的人,使他們根本無法嘗試。

    錶盤上的東西幾乎為零。與它的防禦能力有關。結果,您需要其他防禦機制來實現您的安全目標,前提是這些防禦機制包括心理影響之外的任何東西。如果需要,監視(視頻或親自觀看)將為您提供更可靠的篡改證據;如果那不可行,還有其他方法可以實現。如果您要保護自己免受堅定的攻擊者的侵害,則還需要其他保護措施。

鎖通常用於篡改證據,而不僅僅是提供物理安全性。在這些情況下,攻擊者可能沒有那麼嚴格的時間限制,但是無法物理破壞鎖(因為這會留下證據)。
請參閱@CGCampbell's對原始問題的評論。該鎖甚至不提供篡改證據。知道花樣的人可以用簡單的工具打開該鎖,比知道該密碼的人可以撥入它更快。用該工具打開它幾乎沒有任何證據。
或切開鎖,打開[容器]用備用鎖替換-誰在乎密碼是否錯誤...
@forest謝謝。我更新了我的答案以合併這種可能性。
AJAr
2018-04-13 19:13:22 UTC
view on stackexchange narkive permalink

將其歸零。也許需要做更多的工作,但是您不會冒為多個撥盤旋轉太少或旋轉相同數量的風險。不管哪種情況,攻擊者幾乎都不會繼續進行攻擊...大多數人不會考慮這一點。兩者之間的實際安全性可能大致相等。如果將其歸零,他們將沒有任何額外的東西可以繼續下去,並且養成這樣的習慣是很好的。

可能沒有更多的工作。如果將其設置為0000,則可以將1234組合為:1在第一個撥盤上單擊,2在第二個撥盤上單擊,依此類推,而不必進行減法來確定要移動多遠。每個撥盤。之後再重置時,可以向後進行相同的操作。甚至更容易!
關鍵是將其重置為相同的樣式,因此重置不能用作攻擊的載體,然後您可以使用這種一致性來打開外觀而不會出現視覺缺陷……甚至可以提高安全性。
我認為這個答案是正確的,但需要注意的是,如果額外的安全性值得(值得)額外的工作,那麼您可能使用的鎖太弱了。但這可能不受您的控制。
該鎖看起來像我幾十年前使用過的鎖-如果是的話,我相信它有一個停止位,可以防止它向後退回到超過零的位置,從而使歸零比爭奪更容易。
好的攻擊者不是“ *大多數人*”-像往常一樣,威脅模型必須包括您要防禦的對手的級別。
@TobySpeight是的,這很公平。
Marcos
2018-04-14 02:18:50 UTC
view on stackexchange narkive permalink

回答此問題時,需要考慮一些事項。

  1. 如果您正在尋找統計答案,則“旋轉”撥盤特定次數隨機向前和向後。 (我沒有計數,因為那是我沒有的計算。這就像在拉斯維加斯所要求的隨機洗牌數量被認為是隨機的。)

  2. 如果從安全角度來看,則將其設置為特定數字是更好的答案(其中0000可能是該特定數字)。更好的答案的原因已在其他帖子中提及,但總而言之,它要求鎖定鎖的人才能“思考”以確保已對其進行了撥號。它不隨時間提供統計信息來猜測運動。它允許定期“發現”篡改(甚至移動數字)。如果您設置的數字為0000,則篡改部分的效力可能會降低,因為有人在玩它可能會記得將其改回0000。

    3. ol>

    不幸的是,所有如果試圖打開鎖的人知道他們在做什麼,那麼總體來說這沒有什麼意義。有經驗的人可以在不到30秒的時間內打開這些4位數字的組合鎖,如圖所示。如果他們的墊片很薄,那就更快了……只是一個典型的示例視頻(儘管有更多裸露的撥盤) https://www.youtube.com/watch?v=ABKsUNitXqw https://www.youtube.com/watch?v=jmhSSuCIdPI。在DefCon工作了幾年之後,坐在經過精心挑選的村莊里呆了幾分鐘,看著年輕人在不到15分鐘的訓練後迅速彈出這些東西,真是令人驚訝。

    知道這些對於他們來說有多容易流行,而且您可能擔心篡改的事實,上面的#2是長期的發展之路。

(+1)除“ 1.”外,我大多同意您的回答。對於這種類型的密碼鎖,(#1)“旋轉”(任意或全部)撥號不止一次不會提高安全性。問題在於,鎖定鎖的人(或稍後對其進行驗證)應確保所有撥盤均已從打開的組合中移出。問題是,應該將它們移動到特定的(不正確的)位置(例如0-0-0-0)還是一些隨機的位置。每個撥盤上的一個動作應該足夠,可以移動到特定位置或隨機位置。在任一方向上移動撥盤兩次(或多次)可以將其移回到打開位置。
將每個撥盤分別移動到一個隨機的但不會打開的位置上,會將有關代碼的信息洩漏給可以隨時間觀察鎖定的觀察者。
只要*某些*可以位於“打開”位置,就可以了,只要*“不是全部”都可以。這樣,每次觀察最多只能減少一個代碼的搜索空間。
至於統計數據,真正的隨機性意味著向前旋轉0至9個位置,每個刻度盤彼此獨立的機會均等。我不會為此而依靠肌肉記憶。使用RNG。
“隨著時間的流逝沒有統計信息” —我猜測那些正確數字最遠離0的錶盤中的額外磨損最終將可被檢測到。
Esa Jokinen
2018-04-14 10:41:26 UTC
view on stackexchange narkive permalink

要增加額外的安全性,可以將兩個方向均等地用於歸零,或者始終將所有方向都旋轉到一個方向,以保留相等數量的指紋。人們傾向於選擇一個數字並記住它。從零到(或接近)正確組合的路徑可能會在紫外線下顯示出來。

我認為,這比猜測顯示的非零組合是盲目旋轉還是手工採摘更容易:記住什麼與已經嘗試過0000-9999所花費的時間和精力相比,已經嘗試過的花費了類似的時間和精力。而且一旦被盜,時間和組合就變得無關緊要:我將注意力集中在當您不願透露秘密的情況下可能轉身而來的威脅。

路徑為零不是打開時使用的從零開始的反向路徑嗎?因此,以自然的方式將鎖旋轉回去應該可以使上下指紋均勻。
向前滾動0-1 -...- 7與向後滾動7-6 -...- 0會留下相同的痕跡,而向後滾動7-7-9-0會在所有數字上留下指紋。
啊,我想我明白您的意思-我想的是殼體上的磨損方式要多於車輪的磨損方式!
user175731
2018-04-14 21:28:11 UTC
view on stackexchange narkive permalink

從理論上講,將其設置為0000是更好的選擇,因為不可能與以前存在任何關聯。實際上,它略勝一籌,因為您可以檢查是否符合要求,而任何需要足夠隨機化的指定程序都無法輕易地檢查出人們是否真正遵循了該協議,而不是隨便刷牙

但更實際的是,依靠這樣的鎖來獲得嚴格的安全性完全是愚蠢的。如果值得進行這種分析,那麼值得的不是玩具而是一把鎖。斷線鉗規則。

好吧,與之前的內容相關的可能性為10/10000 = 0.1%,因為可能為1111、2222等。很小,但不是“不可能”。
@AndrewLeach這不是關聯。相關性將在您的目標和_給定正確組合的任何位置_之間。換句話說,這將與“正確的組合”相關,而不是與“ 1111”相關。
usr-local-ΕΨΗΕΛΩΝ
2018-04-16 17:16:39 UTC
view on stackexchange narkive permalink

有關將結果歸零的更多信息,這是我推薦的方法。這是一個理論答案。

假設攻擊者知道如何通過清零,設置為任何固定值或加擾數字來重置鎖定,他們仍應保持零知識

這可以用“混搭”來打破,因為沒有人是隨機來源的理想來源。實際上,它們可能是最糟糕的。

圍繞數字的混搭可以與機械/電子設備一起使用,該機械/電子設備可以根據真實或隨機的來源旋轉數字。

但是通常人類會應用數字模式,這可能會減少尋找的可能值。通常,例如,人們會“隨機”在捲軸上滑動手指,使它們指向另一根手指。或按大腦想要保持的順序移動滾軸。

也許有人會確保結果數字顯示的位數與正確組合的位數不同,或者顯示最小數量的[em] 更改每個數字時。

這將導致已知的明文攻擊,並且嘗試次數不斷增加(再次,這是理論上的答案),並且會給 有關攻擊者不應該擁有的組合的信息。

強調了附加是什麼意思?即使攻擊者成功確定一個數字肯定是錯誤的猜測,他們也只是將所需的暴力攻擊降低了1000次。添加更多數字以限制攻擊面。

設置為 0000 或設置為任何預定義值都會使每種組合的機率相同

Qwertie
2018-04-15 17:48:03 UTC
view on stackexchange narkive permalink

從實際意義上講,這實際上並不重要,要想消除盲目混亂,將比僅搖動錶盤並獲得鎖感要困難得多。只需轉動錶盤並感覺一下它的反應,就很容易打開密碼鎖。像這樣的密碼鎖只能起到輕微的威懾作用。

消除盲目爭奪不一定那麼困難。我已經有了一個4盤鎖,並設法通過一次移動每個撥盤(出於某種原因將其保存在最左邊)並每次嘗試打開它來解鎖。它在不到一分鐘的時間內完成了工作。
user175812
2018-04-16 00:50:06 UTC
view on stackexchange narkive permalink

例如,您還可以修復另一個隨機數3234,並在鎖定後將其恢復為該數字,因此更容易知道是否已使用而不是0000進行播放

每個人都必須記住兩個密碼,然後有人會混淆它們。
這似乎更像是評論而不是答案。
djechlin
2018-04-18 03:30:50 UTC
view on stackexchange narkive permalink

要求每個人都使用全0確實是一個很糟糕的主意,因為要求全0都是繁瑣的安全工作。

我強烈感覺到兩者之間沒有功能上的區別,但是鼓勵我制定最佳實踐。

最佳實踐應該是人們始終如一地遵循和遵循的,也是你的同齡人理解其重要性的東西。當有人忘記將其全部設置為0或感覺不到是瑣碎的時候會出現的參數。當然,您團隊中的其他所有人都知道這沒有任何區別,至少沒有任何不以“技術上良好”開頭的區別。

當管理層對安全性持字面意義時,您可以期望員工能夠做到對他們說實話。如果人們真的感到不高興,您可能會期望找到地面上設置為全0的鎖,並有一天安全地打開,就像管理層希望的那樣。

undercat applauds Monica
2018-04-18 20:22:43 UTC
view on stackexchange narkive permalink

從理論上講,它們是同樣安全的。如果其中之一更安全(例如,盲目地旋轉錶盤),那麼攻擊者也將知道它,並將鎖設置為“ 0000”以降低複雜度,並且反之亦然。

要注意的一件事是,如果“更容易”將數字旋轉到正確的位置(理論上這是一個非常糟糕的鎖,那麼從理論上講,隨機旋轉數字可以給出您的代碼)據我所知,有些鎖就是這樣。因此,如果您確實想引入一些隨機元素,則最好自己提出一個隨機數,確保它與正確的數字不太接近,然後將鎖定設置為該數字

-1表示“確保它與正確的數字不太接近”,因為它本身是一個相關性,而且也很強。其他一些答案也指出了這一點。
@forest如果我們以抽象的方式談論,我會同意你的看法。[實際上](https://www.youtube.com/watch?v=Z392cj8GM5U)但是,還有更多的東西在起作用,無論是機械上還是心理上。首先,許多人忘記了重設鎖,因此鎖選擇器更有可能在使用蠻力方法之前嘗試將鎖設置為的號碼(及其相鄰號碼)。其次,某些便宜的鎖的設計方式是,通過隨機旋轉其撥盤,您將比其他任何人更可能獲得正確的數字。清單繼續。


該問答將自動從英語翻譯而來。原始內容可在stackexchange上找到,我們感謝它分發的cc by-sa 3.0許可。
Loading...