如今,密碼破解者能夠采用更先進(jìn)的密碼破解軟件和工具獲取比以往更多的密碼。
行業(yè)專家們認(rèn)為,企業(yè)數(shù)據(jù)的安全依靠傳統(tǒng)密碼的時(shí)代已經(jīng)過去了。他們應(yīng)該采用更安全的訪問方法,如多因素身份驗(yàn)證(MFA),生物識(shí)別,以及單點(diǎn)登錄(SSO)系統(tǒng)。根據(jù)Verizon公司最近發(fā)布的“數(shù)據(jù)泄露調(diào)查報(bào)告”,81%的與黑客有關(guān)的違規(guī)行為涉及被盜或弱密碼。
首先了解一下密碼破解技術(shù)。當(dāng)目標(biāo)是企業(yè),個(gè)人或公眾時(shí),雖然故事是不同的,但最終結(jié)果通常是相同的。因?yàn)楹诳挖A了。
從哈希密碼文件中破解密碼
如果企業(yè)所設(shè)定的密碼很快被破解,通常是其密碼文件已被盜用。一些企業(yè)存有自己的明文密碼列表,而有安全意識(shí)的企業(yè)通常以密碼形式保存密碼文件。Verodin公司的首席信息官安全(CISO)BrianContos說,哈希文件可以用于保護(hù)域控制器的密碼、LDAP和Active Directory等企業(yè)認(rèn)證平臺(tái),以及許多其他系統(tǒng)的密碼。
這些哈希(包括加鹽哈希)加密不再是非常安全的方式。哈希是擾亂密碼的一種方式,使得文件不能再被他人解密。而如果人們檢查密碼是否有效,在登錄之后,系統(tǒng)會(huì)打亂用戶輸入的密碼,并將其與之前已存檔的密碼進(jìn)行比較。
攻擊者手中的密碼文件使用一種“彩虹表”來解密哈希方法簡單的搜索。他們還可以購買專為密碼破解而設(shè)計(jì)的專用硬件,從亞馬遜或微軟公司等公共云提供商租用空間,建立或租用僵尸網(wǎng)絡(luò)來破解密碼。
那些本身并不是密碼破解專家的攻擊者可以進(jìn)行外包。Contos說:“這些人可以租用這些服務(wù)幾個(gè)小時(shí),幾天甚至幾個(gè)星期,而且通常也有技術(shù)支持。人們?cè)谶@個(gè)領(lǐng)域?qū)⒂锌吹胶芏鄬I(yè)化的應(yīng)用。”
Contos表示,破解哈希列密碼只需要一定的時(shí)間,即使是以前被認(rèn)為是十分安全的密碼,其破解時(shí)間也不會(huì)長達(dá)數(shù)百萬年。他說:“根據(jù)我對(duì)人們?nèi)绾蝿?chuàng)建密碼的經(jīng)驗(yàn),通常在不到24小時(shí)內(nèi),黑客就會(huì)破解80%到90%的密碼。如果有足夠的時(shí)間和資源,黑客就能夠破解所有的密碼。而不同的只是需要數(shù)小時(shí)、數(shù)天或數(shù)周的時(shí)間罷了。”
對(duì)于人類創(chuàng)建的任何密碼而言,實(shí)際上不如由計(jì)算機(jī)隨機(jī)生成的密碼。他說,如果用戶需要一些他們保證安全的東西,那么采用一個(gè)更長的密碼是很好的做法,但它不能代替強(qiáng)大的多因子身份驗(yàn)證(MFA)。
被盜的哈希文件特別容易受到攻擊,因?yàn)樗械墓ぷ鞫际窃诠粽叩挠?jì)算機(jī)上完成的。因此沒有必要向網(wǎng)站或應(yīng)用程序發(fā)送試用密碼,看它是否有效。
Coalfire實(shí)驗(yàn)室的安全研究員Justin Angel說:“我們更喜歡采用Hashcat,配備專用的破解機(jī)器,并輔以多個(gè)圖形處理單元,通過密碼哈希算法來破解密碼列表。使用這種方法在一夜之間破解數(shù)以千計(jì)的密碼,這種情況并不罕見。”
僵尸網(wǎng)絡(luò)實(shí)現(xiàn)大規(guī)模市場(chǎng)的攻擊
對(duì)大型公共場(chǎng)所使用的僵尸網(wǎng)絡(luò)攻擊,攻擊者嘗試采用登錄名和密碼的不同組合進(jìn)行登錄。他們使用從其他站點(diǎn)竊取的登錄憑據(jù)和人們通常使用的密碼進(jìn)入。
利伯曼軟件公司總裁Philip Lieberman表示,這些密碼可以免費(fèi)獲得或以低成本獲得,其中包括大約40%的互聯(lián)網(wǎng)用戶的登錄信息。他說:“創(chuàng)建了大量數(shù)據(jù)庫的雅虎公司這樣的行業(yè)巨頭都沒有防止數(shù)據(jù)泄露,黑客可以利用這些數(shù)據(jù)謀利。”
通常,這些密碼長期保持有效。Preempt Security公司首席技術(shù)官Roman Blachman表示:“即使在違約事件發(fā)生之后,許多用戶也不會(huì)改變他們已經(jīng)泄露的密碼。”
“例如,黑客想進(jìn)入銀行賬戶。多次登錄同一帳戶將觸發(fā)警報(bào)、鎖定或其他安全措施。所以,他們通常從一個(gè)已知的電子郵件地址的名單開始,然后獲取人們使用的最常見的密碼列表。”Ntrepid公司首席科學(xué)家LanceCottrell說,“他們嘗試采用最常見的密碼登錄到每一個(gè)電子郵件地址,而每個(gè)賬戶都會(huì)經(jīng)歷一次失敗。”
“黑客在等待幾天之后,然后嘗試使用另一個(gè)最常見的密碼的每個(gè)電子郵件地址。”他說,“黑客可以使用僵尸網(wǎng)絡(luò)中的上百萬臺(tái)受感染的電腦進(jìn)行嘗試,所以目標(biāo)網(wǎng)站看不到來自單一來源的所有嘗試。”
行業(yè)廠商正在開始解決這個(gè)問題。使用LinkedIn,F(xiàn)acebook或Google等第三方認(rèn)證服務(wù)有助于減少用戶必須記住的密碼數(shù)量。而進(jìn)行雙重身份驗(yàn)證(2FA)對(duì)于主要云供應(yīng)商以及金融服務(wù)站點(diǎn)和主要零售商而言正變得越來越常見。
SecureWorks公司安全研究員James Bettke表示,標(biāo)準(zhǔn)制定機(jī)構(gòu)也在加緊實(shí)施安全標(biāo)準(zhǔn)。今年六月,美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)發(fā)布了一套更新的數(shù)字身份指南,專門處理這個(gè)問題。他表示:“密碼復(fù)雜性要求和定期重置實(shí)際上會(huì)導(dǎo)致密碼變?nèi)酰@樣將導(dǎo)致用戶重用密碼,并回收可預(yù)測(cè)的模式。
數(shù)據(jù)安全商VASCO公司的全球法規(guī)和標(biāo)準(zhǔn)總監(jiān)Michael Magrath說,即線上快速身份驗(yàn)證(FIDO)聯(lián)盟也正致力于推廣強(qiáng)有力的認(rèn)證標(biāo)準(zhǔn)。他說:“靜態(tài)密碼是不安全的。”
除了這些標(biāo)準(zhǔn)之外,還有一些新技術(shù)(如行為特征識(shí)別技術(shù)和面部識(shí)別技術(shù))可以幫助提高消費(fèi)者網(wǎng)站和移動(dòng)應(yīng)用程序的安全性。
你的密碼被盜了嗎?
針對(duì)個(gè)人用戶,網(wǎng)絡(luò)攻擊者檢查用戶的憑據(jù)是否已經(jīng)從其他網(wǎng)站盜取,因?yàn)橛锌赡苁褂孟嗤拿艽a或類似的密碼。OpenText公司的高級(jí)副總裁兼安全分析總經(jīng)理Gary Weiss說:“幾年前,LinkedIn的數(shù)據(jù)泄露事件就是一個(gè)很好的例子。黑客竊取了Facebook創(chuàng)始人馬克•扎克伯格的LinkedIn密碼,并且能夠訪問其他平臺(tái),因?yàn)樗@然在其他社交媒體重新使用了這個(gè)密碼。”
據(jù)一家提供密碼管理工具提供商Dashlane公司的研究,每個(gè)人平均有150個(gè)需要密碼的賬戶,這意味著人們要記住太多的密碼,因此大多數(shù)人只使用一個(gè)或兩個(gè)密碼,有的只是進(jìn)行一些簡單的變化。但這是一個(gè)嚴(yán)重的問題。
Dashlane公司首席執(zhí)行官Emmanuel Schalit表示:“人們有一個(gè)常見的誤解,認(rèn)為如果有一個(gè)非常復(fù)雜的密碼,就可以在任何地方使用,并會(huì)保持安全,這種想法是完全錯(cuò)誤的。在這一點(diǎn)上,如果用戶的一個(gè)非常復(fù)雜的密碼已經(jīng)被盜用,那意味著所有信息可能會(huì)全部泄露。”
如果某人可能在其銀行或投資賬戶設(shè)置一個(gè)安全性非常好的密碼,但是如果其gmail郵箱沒有安全的密碼,攻擊者可以進(jìn)入郵箱,而通過電子郵件進(jìn)行密碼恢復(fù),攻擊者將擁有你的文件。
一旦任何一個(gè)網(wǎng)站被黑客入侵,其密碼被竊取,就可以利用它來訪問其他帳戶。如果黑客能夠進(jìn)入企業(yè)用戶的電子郵件帳戶,他們將在其他地方重置用戶的密碼。“例如,如果某人可能在其銀行或投資賬戶設(shè)置一個(gè)安全性非常好的密碼,但是如果其gmail郵箱沒有安全的密碼,攻擊者可以進(jìn)入郵箱,而通過電子郵件進(jìn)行密碼恢復(fù)。”Schalit說,“有一些人遭遇了密碼重置的攻擊。”
如果黑客發(fā)現(xiàn)一個(gè)沒有限制登錄嘗試的網(wǎng)站或內(nèi)部企業(yè)應(yīng)用程序,也會(huì)嘗試使用通用密碼列表、字典查找表和密碼破解工具(如Johnthe Ripper,Hashcat,或Mimikatz)。
而對(duì)于商業(yè)服務(wù),網(wǎng)絡(luò)犯罪分子可以使用更復(fù)雜的算法來破解密碼。xMatters公司首席技術(shù)官Abbas HaiderAli表示,密碼文件的持續(xù)泄漏將為這些商業(yè)服務(wù)提供極大的幫助。
人們想到的密碼,如采用符號(hào)代替字母,使用巧妙的縮寫或鍵盤模式。或科幻小說中不尋常的名字,但這些方法別人也會(huì)想到。他說:“不管設(shè)置的人有多聰明,人為設(shè)置的密碼對(duì)于高明的黑客來說都是毫無意義的。”
Ntrepid公司的Cottrell說,密碼破解的應(yīng)用程序和工具如今已經(jīng)變得非常復(fù)雜。他說:“但是人類在選擇密碼方面并沒有得到太多的改善。”
對(duì)于一個(gè)高價(jià)值的攻擊目標(biāo),攻擊者也將研究可以幫助他們回答安全恢復(fù)問題的信息。用戶帳戶通常只是電子郵件地址,他補(bǔ)充說,企業(yè)電子郵件地址很容易被猜測(cè),因?yàn)樗鼈兪菢?biāo)準(zhǔn)化的格式。
如何檢查密碼的強(qiáng)度
在告知用戶選擇的密碼是否安全方面,大多數(shù)網(wǎng)站做得很差。他們的密碼通常變得過時(shí),而通常采用的是八個(gè)字符的長度,大小寫字母,符號(hào)和數(shù)字的組合。
第三方網(wǎng)站將評(píng)估用戶密碼的強(qiáng)度,但用戶對(duì)使用的網(wǎng)站應(yīng)該小心謹(jǐn)慎。Cottrell說:“糟糕的事情是上一個(gè)隨機(jī)的網(wǎng)站,輸入密碼進(jìn)行測(cè)試。”
但是,如果人們對(duì)密碼破解需要多長時(shí)間感到好奇,可以嘗試登錄Dashlane公司的網(wǎng)站HowSecureIsMyPassword.net。另一個(gè)測(cè)量密碼強(qiáng)度的站點(diǎn)是軟件工程師Aaron Toponce的Entropy TestingMeter,用于檢查字典詞匯,詞匯和常見模式。他建議選擇至少70位熵的密碼。他再次建議不要在網(wǎng)站上輸入真實(shí)的密碼。
對(duì)于大多數(shù)用戶來說,他們登錄的網(wǎng)站和應(yīng)用程序會(huì)產(chǎn)生一些想法。用戶期望為每個(gè)站點(diǎn)提供獨(dú)特的密碼,每三個(gè)月更換一次,并且保證安全時(shí)間足夠長,并且還記得這些密碼,這可能實(shí)現(xiàn)嗎?
Cottrell說:“人們選擇密碼的一個(gè)經(jīng)驗(yàn)法則是,如果能記住這個(gè)密碼,那么就不是一個(gè)好的密碼。當(dāng)然,如果能記住其中一些密碼的話,那么這些就不是安全的密碼。”
他說,使用隨機(jī)生成的長度最長的密碼,并使用安全的密碼管理系統(tǒng)進(jìn)行存儲(chǔ)。他說:“我的密碼保險(xiǎn)箱里有超過1000個(gè)密碼,幾乎都是20多個(gè)字符的長度。”
對(duì)于數(shù)據(jù)庫等關(guān)鍵密碼,建設(shè)使用長密碼。Cottrell說,“這個(gè)密碼不應(yīng)該是一句話,也不應(yīng)該是任何一本書的內(nèi)容,對(duì)用戶來說是值得紀(jì)念意義的就可以。我的建議是,使用具有30個(gè)字符的短語,這對(duì)暴力破解密碼的工具來說,實(shí)際上是不可能破解的。”
Dashlane公司安全負(fù)責(zé)人Cyril Leclerc的表示,對(duì)于網(wǎng)站或應(yīng)用程序的個(gè)人密碼,20個(gè)字符是合理的長度,但前提是這些字符是隨機(jī)的。他說:“破解者可以破解20個(gè)字符的人為設(shè)置的密碼,但不會(huì)破解隨機(jī)生成的密碼,即使有人擁有能力無限的未來計(jì)算機(jī),黑客也有可能只破解一個(gè)密碼,而且在這項(xiàng)任務(wù)上花費(fèi)了大量的時(shí)間,這樣做將會(huì)得不償失。”
來源:機(jī)房360
石家莊服務(wù)器托管 石家莊服務(wù)器租用 石家莊機(jī)柜租用 石家莊機(jī)房
|
