O'Reilly logo
  • Steve Zhou thinks this is interesting:

offline dictionary attacks.

From

Cover of CWSP, 2nd Edition

Note

challenge - response 的本质是Server要求客户端把经过hash后的密码过来,然后与Server自己数据库中的hash做对比,或者取出密码做一次hash,如果值相同,说明客户端提供的密码是正确的。攻击者抓到的是密码hash值,无法简单的推导出密码。但由于hash算法本身的弱点,特别是那些已经被crack掉的hash算法,攻击者可以相对容易的通过线下字典暴利破解出密码。所以被抓到 challenge / response 也是不安全的,这部分信息需要被加密。