如今,密码破解者能够采用更先进的密码破解软件和工具获取比以往更多的密码。
行业专家们认为,企业数据的安全依靠传统密码的时代已经过去了。他们应该采用更安全的访问方法,如多因素身份验证(MFA),生物识别,以及单点登录(SSO)系统。根据Verizon公司最近发布的“数据泄露调查报告”,81%的与黑客有关的违规行为涉及被盗或弱密码。
首先了解一下密码破解技术。当目标是企业,个人或公众时,虽然故事是不同的,但最终结果通常是相同的。因为黑客赢了。
从哈希密码文件中破解密码
如果企业所设定的密码很快被破解,通常是其密码文件已被盗用。一些企业存有自己的明文密码列表,而有安全意识的企业通常以密码形式保存密码文件。Verodin公司的首席信息官安全(CISO)Brian Contos说,哈希文件可以用于保护域控制器的密码、LDAP和Active Directory等企业认证平台,以及许多其他系统的密码。
这些哈希(包括加盐哈希)加密不再是非常安全的方式。哈希是扰乱密码的一种方式,使得文件不能再被他人解密。而如果人们检查密码是否有效,在登录之后,系统会打乱用户输入的密码,并将其与之前已存档的密码进行比较。
攻击者手中的密码文件使用一种“彩虹表”来解密哈希密码。他们还可以购买专为密码破解而设计的专用硬件,从亚马逊或微软公司等公共云提供商租用空间,建立或租用僵尸网络来破解密码。
那些本身并不是密码破解专家的攻击者可以进行外包。Contos说:“这些人可以租用这些服务几个小时,几天甚至几个星期,而且通常也有技术支持。人们在这个领域将会看到很多专业化的应用。”
Contos表示,破解哈希列密码只需要一定的时间,即使是以前被认为是十分安全的密码,最终也会被破解。他说:“根据我对人们如何创建密码的经验,通常在不到24小时内,黑客就会破解80%到90%的密码。如果有足够的时间和资源,黑客就能够破解所有的密码。而不同的只是需要数小时、数天或数周的时间罢了。”
对于人类创建的任何密码而言,实际上不如由计算机随机生成的密码。他说,如果用户需要一些他们保证安全的东西,那么采用一个更长的密码是很好的做法,但它不能代替强大的多因子身份验证(MFA)。
被盗的哈希文件特别容易受到攻击,因为所有的工作都是在攻击者的计算机上完成的。因此没有必要向网站或应用程序发送试用密码,看它是否有效。
Coalfire实验室的安全研究员Justin Angel说:“我们更喜欢采用Hashcat,配备专用的破解机器,并辅以多个图形处理单元,通过密码哈希算法来破解密码列表。使用这种方法在一夜之间破解数以千计的密码,这种情况并不罕见。”
僵尸网络实现大规模市场的攻击
对大型公共场所使用的僵尸网络攻击,攻击者尝试采用登录名和密码的不同组合进行登录。他们使用从其他站点窃取的登录凭据和人们通常使用的密码进入。
利伯曼软件公司总裁Philip Lieberman表示,这些密码可以免费获得或以低成本获得,其中包括大约40%的互联网用户的登录信息。他说:“创建了大量数据库的雅虎公司这样的行业巨头都没有防止数据泄露,黑客可以利用这些数据谋利。”
通常,这些密码长期保持有效。Preempt Security公司首席技术官Roman Blachman表示:“即使在违约事件发生之后,许多用户也不会改变他们已经泄露的密码。”
“例如,黑客想进入银行账户。多次登录同一账户将触发警报、锁定或其他安全措施。所以,他们通常从一个已知的电子邮件地址的名单开始,然后获取人们使用的最常见的密码列表。”Ntrepid公司首席科学家Lance Cottrell说,“他们尝试采用最常见的密码登录到每一个电子邮件地址,而每个账户都会经历一次失败。”
“黑客在等待几天之后,然后尝试使用另一个最常见的密码的每个电子邮件地址。”他说,“黑客可以使用僵尸网络中的上百万台受感染的电脑进行尝试,所以目标网站看不到来自单一来源的所有尝试。”
行业厂商正在开始解决这个问题。使用LinkedIn,Facebook或Google等第三方认证服务有助于减少用户必须记住的密码数量。而进行双重身份验证(2FA)对于主要云供应商以及金融服务站点和主要零售商而言正变得越来越常见。
SecureWorks公司安全研究员James Bettke表示,标准制定机构也在加紧实施安全标准。今年六月,美国国家标准与技术研究院(NIST)发布了一套更新的数字身份指南,专门处理这个问题。他表示:“密码复杂性要求和定期重置实际上会导致密码变弱,而这样将导致用户重用密码,并回收可预测的模式。
数据安全商VASCO公司的全球法规和标准总监Michael Magrath说,线上快速身份验证(FIDO)联盟也正致力于推广强有力的认证标准。他说:“静态密码是不安全的。”
除了这些标准之外,还有一些新技术(如行为特征识别技术和面部识别技术)可以帮助提高消费者网站和移动应用程序的安全性。
你的密码被盗了吗?
针对个人用户,网络攻击者检查用户的凭据是否已经从其他网站盗取,因为有可能使用相同的密码或类似的密码。OpenText公司的高级副总裁兼安全分析总经理Gary Weiss说:“几年前,LinkedIn的数据泄露事件就是一个很好的例子。黑客窃取了Facebook 创始人马克·扎克伯格的LinkedIn密码,并且能够访问其他平台,因为他显然在其他社交媒体重新使用了这个密码。”
据一家密码管理工具提供商Dashlane公司的研究,每个人平均有150个需要密码的账户,这意味着人们要记住太多的密码,因此大多数人只使用一个或两个密码,有的只是进行一些简单的变化。但这是一个严重的问题。
Dashlane公司首席执行官Emmanuel Schalit表示:“人们有一个常见的误解,认为如果有一个非常复杂的密码,就可以在任何地方使用,并会保持安全,这种想法是完全错误的。在这一点上,如果用户的一个非常复杂的密码已经被盗用,那意味着所有信息可能会全部泄露。”
如果某人可能在其银行或投资账户设置一个安全性非常好的密码,但是如果其gmail邮箱没有安全的密码,攻击者可以进入邮箱,而通过电子邮件进行密码恢复。
一旦任何一个网站被黑客入侵,其密码被窃取,就可以利用它来访问其他账户。如果黑客能够进入企业用户的电子邮件账户,他们将在其他地方重置用户的密码。“例如,如果某人可能在其银行或投资账户设置一个安全性非常好的密码,但是如果其gmail邮箱没有安全的密码,攻击者可以进入邮箱,而通过电子邮件进行密码恢复。”Schalit说,“有一些人遭遇了密码重置的攻击。”
如果黑客发现一个没有限制登录尝试的网站或内部企业应用程序,也会尝试使用通用密码列表、字典查找表和密码破解工具(如John the Ripper,Hashcat,或Mimikatz)。
而对于商业服务,网络犯罪分子可以使用更复杂的算法来破解密码。 xMatters公司首席技术官Abbas Haider Ali表示,密码文件的持续泄漏将为这些商业服务提供极大的帮助。
人们想到的密码,如采用符号代替字母,使用巧妙的缩写或键盘模式。或科幻小说中不寻常的名字,但这些方法别人也会想到。他说:“不管设置的人有多聪明,人为设置的密码对于高明的黑客来说都是毫无意义的。”
Ntrepid公司的Cottrell说,密码破解的应用程序和工具如今已经变得非常复杂。他说:“但是人类在选择密码方面并没有得到太多的改善。”
对于一个高价值的攻击目标,攻击者也将研究可以帮助他们回答安全恢复问题的信息。用户账户通常只是电子邮件地址,他补充说,企业电子邮件地址很容易被猜测,因为它们是标准化的格式。
如何检查密码的强度
在告知用户选择的密码是否安全方面,大多数网站做得很差。他们的密码通常变得过时,而通常采用的是八个字符的长度,大小写字母,符号和数字的组合。
第三方网站将评估用户密码的强度,但用户对使用的网站应该小心谨慎。Cottrell说:“糟糕的事情是上一个随机的网站,输入密码进行测试。”
但是,如果人们对密码破解需要多长时间感到好奇,可以尝试登录Dashlane公司的网站HowSecureIsMyPassword.net。另一个测量密码强度的站点是软件工程师Aaron Toponce的Entropy Testing Meter,用于检查字典词汇,词汇和常见模式。他建议选择至少70位熵的密码。他再次建议不要在网站上输入真实的密码。
对于大多数用户来说,他们登录的网站和应用程序会产生一些想法。用户期望为每个站点提供独特的密码,每三个月更换一次,并且保证安全时间足够长,并且还记得这些密码,这可能实现吗?
Cottrell说:“人们选择密码的一个经验法则是,如果能记住这个密码,那么就不是一个好的密码。当然,如果能记住其中一些密码的话,那么这些就不是安全的密码。”
他说,使用随机生成的长度最长的密码,并使用安全的密码管理系统进行存储。他说:“我的密码保险箱里有超过1000个密码,几乎都是20多个字符的长度。”
对于数据库等关键密码,建设使用长密码。Cottrell说,“这个密码不应该是一句话,也不应该是任何一本书的内容,对用户来说是值得纪念意义的就可以。我的建议是,使用具有30个字符的短语,这对暴力破解密码的工具来说,实际上是不可能破解的。”
Dashlane公司安全负责人Cyril Leclerc表示,对于网站或应用程序的个人密码,20个字符是合理的长度,但前提是这些字符是随机的。他说:“破解者可以破解20个字符的人为设置的密码,但不会破解随机生成的密码,即使有人拥有能力无限的未来计算机,黑客也有可能只破解一个密码,而且在这项任务上花费了大量的时间,这样做将会得不偿失。”
----文摘
设为首页 
加入收藏
