随着越来越多的vbulletin黑客攻击,我们修改了3.8.x软件行,以便在PHP中使用password_hash()函数以提高安全性。我设计了代码,以便在用户重新登录时转换密码(强制在下次访问时登录)。问题是,我们有很多用户长时间不登录,我们也希望保护他们。我们正在考虑购买/租用一些大型GPU电源并使用像hashcat这样的东西来破解然后转换我们拥有的密码。
从我最初的测试开始,这种方法很有效,直到你获得7-8个字符的密码(使用hashcat中的一个字符集)。在那之后,这个过程真的变慢了。这样做是否真的有希望成功,特别是对于大密码?如果是这样,我们应该获得什么样的力量?总而言之,我们可能有近百万个不同的盐渍账户。
这个想法是否可行?