我 14 岁到 18 岁,全花在研究离线密码破解
文章摘要
发帖人 Bojta Lepenye——一个 18 岁的年轻人——在 HN Show 上自报家门:过去四年(14 岁到 18 岁)他全部花在了离线密码破解的研究上,并把这段历程写成了一本 427 页的英文书,5 月在 Amazon Kindle Unlimited 上架。整篇 Show HN 与其说是推销,不如说是一个少年在公开他的成长档案。
故事起点是一个学校官方授权的渗透测试——他用 Hashcat 拿下了一个老师设的密码,然后陷入”我到底真的会这门技术吗”的怀疑。最初他在 YouTube 视频和零散博客里凑了 10–15 页笔记,很快意识到这点东西远不足以构成一份专业的密码破解指南。关键的发现是:网络上没有任何一份系统整理过这个领域的资料——论坛、白皮书、学术论文、infographic 全是碎片。于是他从 2022 年 1 月 18 日开始记录,自己把碎片重组成体系。
书覆盖的范围很硬核:密码哈希算法(password hashing algorithms)、哈希函数的安全特性、高级哈希破解技术(dictionary attack、mask attack、rule-based attack、hybrid attack、combinator attack 等)、密码分布分析、攻击优化。最有意思的细节是他多次重写整本书——比如 Hashcat 后来给 Argon2 等内存密集型算法加了 GPU 支持,整套工作流要重写;新硬件出来时整本书又要重排。这本书相当于他自己从 14 岁开始的一份学习日志,被反复迭代了四年。
整件事的”少年气”也很重要——他直白地表示这是他的第一本书,希望对初学者和老手都有帮助;他承认自己最初也是从盗版资源和 YouTube 学起;他对 Hashcat 核心开发者表达了真挚的感谢。HN 评论区的反应反而比内容本身更有趣:技术老兵在认真给一个 18 岁少年校稿。
HN 评论精华
-
raphman(最长且最被作者认可的反馈):技术细节大体准确,但有些表述不够精确——比如书里说”Windows 因为 GUI 太重所以做密码破解会慢”,Hashcat 的实际性能跟 Windows UI 关系很小(论坛已有讨论);另一处把”哈希反推”形容为”literally impossible”也不严谨,应该是”无法直接反推但可以猜验证”。raphman 强调他不是吹毛求疵——他抢先评论是怕没人愿意花时间给一个少年作者写认真反馈。
-
bojta-lepenye(作者本人):每个建设性反馈下面都有他认真的回复——感谢、说英文不是母语会继续改、技术点会在下一版修正。这种回应姿态让整个评论区从”技术挑刺”变成了”师徒提点”。
-
Cpoll(哲学讨论):和 raphman 在”密码破解算不算 derivation”上认真辩了几轮——Cpoll 的立场是:哈希破解本质是 guess-and-check(猜测并验证),不是数学上的”反推”,因为哈希函数是 many-to-one 关系;rainbow table 算 derivation,但破解过程不算。这种关于词义边界的讨论恰恰是密码学初学者最容易忽略的认知盲点。
-
copypaper(写作建议):浏览 Amazon 试读样本后发现几乎每一句都有逗号——读起来像在听一个人想到哪写到哪。”作为信息类书籍要尽量避免,否则像 word salad(词汇沙拉)。” 但他立刻加了一句:”不过你 18 岁能写成这样,比我当年强多了。“——这种”先提点再鼓励”的语气是整个 thread 的主基调。
-
arcfour(共识):要记住作者的年龄——这已经是非常了不起的成就。改进空间是预期之内的,不是缺陷。
-
ofrzeta(语言文化解释):raphman 抱怨书里直接对读者说”你大概在这样做…“冒犯了他——ofrzeta 解释这其实是类似德语 “man” 的泛指写法,”99% 的情况下,一个人在做 X…“,作者不是在针对你,是在做读者画像。读完这条解释 raphman 觉得”那我没必要被冒犯了”。
-
Cpoll 关于 rainbow table 的 nuance:raphman 把 rainbow table 形容为”derivation”,Cpoll 进一步推敲:”查表是 derivation,但生成表本身不是 derivation“——这种精确度比书里的写法高,作者表示会修订。
-
整体氛围:这是 HN 罕见的”温柔技术帖”——没有 RTFM、没有”为啥不用 X 工具”、没有 AI 阴谋论,几十位老兵在认真给一个 18 岁少年递反馈。多位评论者表示,光是这个 thread 本身就值得收藏,证明 HN 偶尔还是会出现 1990 年代论坛的那种 mentorship 文化。