Maria+Korolov著+Charles譯

專(zhuān)家們認(rèn)為，企業(yè)早就不應(yīng)該依賴(lài)傳統(tǒng)的密碼了。他們應(yīng)該轉(zhuǎn)而采用更安全的訪(fǎng)問(wèn)方法，例如，多重身份認(rèn)證（MFA）、生物識(shí)別和單點(diǎn)登錄（SSO）系統(tǒng)等。據(jù)最新的《Verizon數(shù)據(jù)泄露調(diào)查報(bào)告》，81%黑客導(dǎo)致的泄露事件都與被盜密碼或者弱密碼有關(guān)。

首先，讓我們來(lái)討論一下密碼破解技術(shù)。當(dāng)攻擊目標(biāo)是企業(yè)、個(gè)人或者公眾部門(mén)的時(shí)候，情況雖各有不同，但最終結(jié)果通常是一樣的——黑客獲勝。

從散列密碼文件中破解密碼

如果一家公司的所有密碼同時(shí)被破解，那通常是因?yàn)槊艽a文件被盜了。有的公司以明文列出密碼，而安全意識(shí)強(qiáng)的公司則通常以散列的形式保存其密碼文件。Verodin有限公司的首席信息安全官Brian Contos指出，哈希文件用于保護(hù)域控制器、LDAP和Active Directory等企業(yè)認(rèn)證平臺(tái)，以及很多其他系統(tǒng)的密碼。

這些散列，包括加鹽散列，已經(jīng)不是那么非常安全了。采用散列方式對(duì)密碼加擾，使密碼不能再被解讀。要檢查密碼是否有效，登錄系統(tǒng)對(duì)用戶(hù)輸入的密碼進(jìn)行加擾，并將其與之前已存檔并經(jīng)過(guò)哈希處理的密碼進(jìn)行比較。

截獲了散列密碼文件的攻擊者使用所謂“彩虹表”，通過(guò)簡(jiǎn)單搜索法來(lái)破解散列文件。他們還可以購(gòu)買(mǎi)專(zhuān)門(mén)設(shè)計(jì)開(kāi)發(fā)的密碼破解硬件，租用亞馬遜或者微軟等公有云上的空間，構(gòu)建或者租用僵尸網(wǎng)絡(luò)進(jìn)行破解。

攻擊者如果自己不是密碼破解專(zhuān)家，還可以外包。Contos說(shuō)：“我可以租用這些服務(wù)幾個(gè)小時(shí)，幾天，甚至幾周的時(shí)間——通常都能得到支持。這個(gè)領(lǐng)域有很多專(zhuān)業(yè)化的東西?！?/p>

因此，即使以前被認(rèn)為是安全的密碼，破解散列密碼的時(shí)間也不再是數(shù)百萬(wàn)年了。他說(shuō)：“根據(jù)我對(duì)人們創(chuàng)建密碼的經(jīng)驗(yàn)，通常在不到24小時(shí)內(nèi)就能破解80%到90%的密碼。只要有足夠的時(shí)間和資源，可以破解任何密碼。不同之處只是在于時(shí)間——數(shù)小時(shí)、數(shù)天或者數(shù)星期。

這一點(diǎn)尤其適用于任何由人類(lèi)創(chuàng)建的密碼，而不是計(jì)算機(jī)隨機(jī)生成的密碼。他說(shuō)，當(dāng)用戶(hù)想牢記密碼時(shí)，更長(zhǎng)的密碼是很好的做法，例如密碼口令，但它不能替代強(qiáng)MFA。

被盜的散列文件特別容易導(dǎo)致攻擊，因?yàn)樗械墓ぷ鞫际窃诠粽叩挠?jì)算機(jī)上完成的。他們不必向網(wǎng)站或者應(yīng)用程序發(fā)送試用密碼，看看是否有效。

Coalfire實(shí)驗(yàn)室的安全研究員Justin Angel表示：“我們?cè)贑oalfire實(shí)驗(yàn)室都喜歡使用Hashcat，并配備了專(zhuān)用的破解機(jī)器，它有多個(gè)圖形處理單元，用于通過(guò)密碼散列算法來(lái)破解密碼列表。我們用這種方法經(jīng)常在一夜之間就能破解數(shù)千個(gè)密碼?！?/p>

僵尸網(wǎng)絡(luò)造成大規(guī)模市場(chǎng)攻擊

攻擊大型公共網(wǎng)站時(shí)，攻擊者使用僵尸網(wǎng)絡(luò)來(lái)嘗試各種登錄用戶(hù)和密碼的組合。他們使用從其他網(wǎng)站竊取的登錄憑證列表以及人們通常使用的密碼表。

據(jù)Lieberman軟件公司總裁Philip Lieberman，這些列表是免費(fèi)提供的，或者成本很低，其中包括大約40%所有互聯(lián)網(wǎng)用戶(hù)的登錄信息。他說(shuō)：“過(guò)去像雅虎這樣被攻破的公司都曾創(chuàng)建過(guò)犯罪分子可以利用的大量的數(shù)據(jù)庫(kù)?！?/p>

通常，這些密碼在很長(zhǎng)一段時(shí)間內(nèi)都有效。Preempt安全公司的首席技術(shù)官Roman Blachman表示：“即使發(fā)生了泄露事件，很多用戶(hù)仍然沒(méi)有修改他們已經(jīng)泄露的密碼?！?/p>

比如說(shuō)，一名黑客想進(jìn)入銀行賬戶(hù)。多次登錄同一帳戶(hù)將觸發(fā)警報(bào)、鎖定或者其他安全措施。Ntrepid公司首席科學(xué)家Lance Cottrell說(shuō)，那么，他們開(kāi)始時(shí)，使用一個(gè)龐大的已知電子郵件地址列表，然后找出一些人們最常用的密碼。他說(shuō)：“他們嘗試用最常用的密碼登錄每一個(gè)電子郵件地址。因此每個(gè)帳戶(hù)只失敗一次?！?/p>

他們會(huì)等幾天，然后用下一個(gè)最常用的密碼來(lái)再次嘗試每一個(gè)電子郵件地址。他補(bǔ)充說(shuō)：“他們可以使用其僵尸網(wǎng)絡(luò)中被挾持的數(shù)百萬(wàn)臺(tái)計(jì)算機(jī)，所以目標(biāo)網(wǎng)站并沒(méi)有看到所有的嘗試是來(lái)自一個(gè)攻擊源。”

這個(gè)行業(yè)開(kāi)始著手解決這個(gè)問(wèn)題。使用像領(lǐng)英、臉書(shū)或者谷歌等這樣的第三方認(rèn)證服務(wù)有助于減少用戶(hù)要記住的密碼數(shù)量。雙重身份認(rèn)證（2FA）成為主要云供應(yīng)商和金融服務(wù)網(wǎng)站以及大型零售商們共同使用的認(rèn)證手段。

SecureWorks安全研究員James Bettke表示，標(biāo)準(zhǔn)制定機(jī)構(gòu)也在加緊采取措施。6月份，NIST為專(zhuān)門(mén)解決這個(gè)問(wèn)題發(fā)布了一套更新后的《數(shù)字身份指南》。他說(shuō)：“它承認(rèn)，密碼復(fù)雜性要求和周期性重置實(shí)際上會(huì)導(dǎo)致更弱的密碼。密碼疲勞導(dǎo)致用戶(hù)重用以前的密碼，還是一直使用很容易被猜到的密碼?！?/p>

VASCO數(shù)據(jù)安全公司的全球法規(guī)和標(biāo)準(zhǔn)總監(jiān)Michael Magrath說(shuō)，F(xiàn)IDO聯(lián)盟也在努力推廣強(qiáng)有力的認(rèn)證標(biāo)準(zhǔn)。他說(shuō)：“靜態(tài)密碼既不安全也不保密?！?/p>

除了標(biāo)準(zhǔn)，還有行為生物識(shí)別和面部識(shí)別等新的“無(wú)接觸”技術(shù)，這些有助于提高消費(fèi)網(wǎng)站和手機(jī)應(yīng)用程序的安全性。

您的密碼已經(jīng)被盜了嗎？

為了攻擊某個(gè)人，攻擊者檢查是否已經(jīng)從其他網(wǎng)站竊取了該用戶(hù)的憑證，這樣就有可能使用相同的密碼或者類(lèi)似的密碼。OpenText公司的安全、分析和發(fā)現(xiàn)高級(jí)副總裁兼總經(jīng)理Gary Weiss說(shuō)：“幾年前領(lǐng)英的泄露事件就是一個(gè)很好的例子。黑客竊取了馬克·扎克伯格的領(lǐng)英密碼，而他很顯然在其他社交媒體上使用了相同的密碼，導(dǎo)致黑客可以訪(fǎng)問(wèn)其他的平臺(tái)。”

據(jù)一家提供密碼管理工具的公司Dashlane的研究，一般人會(huì)有150個(gè)需要密碼的賬戶(hù)。要記住的密碼太多了，所以大多數(shù)人只使用一個(gè)或者兩個(gè)密碼，有一些簡(jiǎn)單的變化。這是個(gè)問(wèn)題。

Dashlane有限公司首席執(zhí)行官Emmanuel Schalit說(shuō)：“有一個(gè)常見(jiàn)的錯(cuò)誤的概念，認(rèn)為如果您的密碼非常復(fù)雜，就可以用在任何地方，而且是安全的。這絕對(duì)是錯(cuò)誤的。當(dāng)黑客被發(fā)現(xiàn)后，為時(shí)已晚，此時(shí)，您非常復(fù)雜的密碼已經(jīng)被攻破，您所有的信息也是如此?！保梢栽L(fǎng)問(wèn)“我是不是已經(jīng)被泄露了”網(wǎng)站，看看自己受密碼保護(hù)的帳戶(hù)是不是已經(jīng)被泄露了。）endprint

一旦任何一個(gè)網(wǎng)站被黑客入侵，該密碼被盜，就可以利用它來(lái)訪(fǎng)問(wèn)其他帳戶(hù)。如果黑客可以進(jìn)入網(wǎng)站用戶(hù)的電子郵件帳戶(hù)，他們將使用它重置用戶(hù)在其他地方的密碼。Cottrell說(shuō)：“您銀行或者投資賬戶(hù)有很好的密碼，但如果您的gmail賬戶(hù)并沒(méi)有一個(gè)很好的密碼，黑客們能夠破解這個(gè)密碼，而這是您的密碼恢復(fù)電子郵件，那您就危險(xiǎn)了。有很多知名人士的賬戶(hù)被密碼重置攻擊破解了。”

如果他們發(fā)現(xiàn)了不限制登錄嘗試的網(wǎng)站或者企業(yè)內(nèi)部應(yīng)用程序，也會(huì)暴力破解密碼，手段包括使用常用密碼表、字典查找表，以及John the Ripper、Hashcat和Mimikatz等密碼破解工具。

而地下犯罪還提供商業(yè)服務(wù)，使用更復(fù)雜的算法來(lái)破解密碼。xMatters有限公司首席技術(shù)官Abbas Haider Ali指出，這些服務(wù)很大程度上得益于不斷泄露的密碼文件。

您能想到的任何辦法，包括用符號(hào)替代字母、使用巧妙的縮寫(xiě)、鍵盤(pán)圖案或者科幻小說(shuō)中奇怪的名字，等等——?jiǎng)e人早就想到了。他說(shuō)：“不管您有多聰明，人類(lèi)生成的密碼都沒(méi)用?！?/p>

Ntrepid的Cottrell說(shuō)，密碼破解應(yīng)用程序和工具這些年來(lái)已經(jīng)變得非常復(fù)雜。他說(shuō)：“而人類(lèi)在選擇密碼方面卻沒(méi)有什么進(jìn)步?！?/p>

對(duì)于高價(jià)值目標(biāo)，攻擊者也會(huì)研究它們，尋找能夠幫助他們回答安全恢復(fù)問(wèn)題的信息。他補(bǔ)充說(shuō)，用戶(hù)帳戶(hù)通常就是電子郵件地址，特別是公司的電子郵件地址，這很容易被猜到，因?yàn)檫@些地址是標(biāo)準(zhǔn)化的。

怎樣檢查密碼的強(qiáng)度

很多網(wǎng)站在告訴用戶(hù)他們選擇的密碼是否足夠強(qiáng)大方面做得很差。他們一般已經(jīng)過(guò)時(shí)幾年了，至少應(yīng)要求密碼長(zhǎng)度不少于8個(gè)字符，有大小寫(xiě)字母、符號(hào)和數(shù)字的組合。

第三方網(wǎng)站可以評(píng)估您密碼的強(qiáng)度，但是用戶(hù)應(yīng)該謹(jǐn)慎使用這些網(wǎng)站。Cottrell說(shuō)：“世界上最糟糕的事情就是隨機(jī)找一個(gè)網(wǎng)站，然后輸入密碼，讓它進(jìn)行測(cè)試?！?/p>

而如果您好奇地想知道，需要多長(zhǎng)時(shí)間才能破解一個(gè)密碼，那么您可以試一試一個(gè)網(wǎng)站，Dashlane的HowSecureIsMyPassword.net。另一個(gè)評(píng)估密碼強(qiáng)度的網(wǎng)站是軟件工程師Aaron Toponce的熵測(cè)試儀，該網(wǎng)站可以檢查字典詞匯、黑客文和常見(jiàn)的模式。他建議選擇一個(gè)至少有70位熵的密碼。同樣，他建議不要在網(wǎng)站上輸入您的實(shí)際密碼。

對(duì)大多數(shù)用戶(hù)，以及他們登錄的網(wǎng)站和應(yīng)用程序，這就帶來(lái)了問(wèn)題。用戶(hù)怎樣才能在每一個(gè)網(wǎng)站上使用唯一的密碼，每三個(gè)月更改一次，而且足夠長(zhǎng)以確保安全，還要一直記住這些密碼？

Cottrell說(shuō)：“經(jīng)驗(yàn)是，如果您能記住它，那這就不是一個(gè)好密碼。當(dāng)然，如果您能記住一兩個(gè)以上的密碼，那就不是一個(gè)好密碼了——因?yàn)檫@總是一些單詞或者網(wǎng)站的名字?！?/p>

他說(shuō)，相反，使用隨機(jī)生成的、網(wǎng)站允許的長(zhǎng)度最長(zhǎng)的密碼，并使用安全密碼管理系統(tǒng)進(jìn)行存儲(chǔ)。他說(shuō)：“我的密碼庫(kù)中有1，000多個(gè)密碼，它們幾乎都是20多個(gè)字符。”

對(duì)于密碼庫(kù)的主密碼，他使用了一個(gè)長(zhǎng)密碼口令。他說(shuō)：“這不應(yīng)該是一個(gè)短語(yǔ)，也不應(yīng)該來(lái)自任何一本書(shū)，但對(duì)您來(lái)說(shuō)仍然能記住。為了能記住密碼，我的建議是，密碼應(yīng)該非?！C——您甚至都羞于啟齒去告訴任何人。如果您有一個(gè)30個(gè)字符的密碼口令，那基本上就不可能被暴力破解。各種組合就爆炸了?！?/p>

按照Dashlane安全負(fù)責(zé)人Cyril Leclerc的說(shuō)法，對(duì)于網(wǎng)站或者應(yīng)用程序的個(gè)人密碼，20個(gè)字符的長(zhǎng)度是合理的，但前提是它們是隨機(jī)產(chǎn)生的。他說(shuō)：“破解者能夠破解一個(gè)由人類(lèi)生成的20個(gè)字符的密碼，但破解不了隨機(jī)生成的密碼。即使未來(lái)出現(xiàn)了極其強(qiáng)大的計(jì)算機(jī)，黑客也只能破解一個(gè)密碼，而且還得在這項(xiàng)任務(wù)上花費(fèi)大量的時(shí)間?！眅ndprint