【倒计时:03:17:22】
财务总监把U盘推过来时,指甲油还没干透。
"小陈,这是Q3成本模型,密码是‘Fin2022Q3’,你核对下数据逻辑。"
我点头,插进电脑。输入密码。Excel密码恢复失败。
再试。错。第三次,系统弹窗:“密码错误。剩余尝试次数:2”
她已经踩着高跟鞋消失在电梯口。电话无人接听。微信最后一条是两小时前发的:“密码我改过,等我回来告诉你新口令。”
——可她现在在樟宜机场T4,登机牌已值机。
【信任链,断在第3个节点】
这根本不是密码问题。
是信任链的坍塌:
- 财务总监信得过前任IT主管,所以用他留下的旧版加密工具;
- 前任IT主管信得过开源库的文档,没细看那个--legacy-mode参数会强制启用SHA-1哈希;
- 而SHA-1,早在2017年就被Chrome标记为“不安全”。
我们所有人,都默认这条链是金线编织的。直到它被一个7位字符的密码勒紧、绷断。
【他们说“重装Office能解决”】
行政部推荐了3家本地维修店。报价单上写着:
“物理提取+暴力破解(限8位内):¥800,48小时”
我盯着“物理提取”四个字冷笑。他们要的是硬盘镜像——把整个财务数据库打包传到他们服务器上。那和把保险柜钥匙连同柜子一起寄给陌生人,有什么区别?
更荒诞的是,第二家店老板拍胸脯:“我们有GPU集群!” 我问:“你们的集群,会先本地计算Hash再上传吗?” 他愣住:“Hash?啥是Hash?”
那一刻我知道:在线密码恢复的战场,早就不在算力,而在隐私契约。
【猫密网的拓片哲学】
凌晨两点,我在GitHub翻到一段冷门讨论:
“Catpasswd不碰原文件。它只读取ZIP/Excel头结构,生成几KB的特征指纹(Hash),上传后比对云端已知密钥空间。”
——这就像只给锁匠看锁孔的拓片,而不是把整个保险柜搬过去。
我试了。上传过程显示:“正在本地提取特征值… 1.2KB已生成”
没有文件进度条。没有“正在上传327MB”的焦虑。
然后,看着进度条以肉眼可见的速度推进——我知道,云端那几台显卡正在为我疯狂运转,而我的Q3模型,始终锁在本地硬盘里,纹丝不动。
7位字符的密码,破译耗时11分3秒。
【罗生门的背面】
后来才知道,财务总监改密码时手滑按了CapsLock。新密码是‘Fin2022Q3’,但系统记录的是‘FIN2022Q3’。
一个大小写切换,让整条信任链崩成齑粉。
而真正救我的,不是算力,是那个坚持“不上传原文件”的笨道理。
你最近一次忘记文件密码怎么办?是把文件交给别人,还是先问问自己:那几KB的Hash,能不能替你守住最后一道门?