微軟:暴力破解面前,增強密碼復雜性基本沒用
責編:admin |2014-12-02 14:00:03我們都痛恨密碼,然而不幸的是在當下及可以看見的未來里,賬戶登錄等在線認證操作的主要方法還是需要使用密碼的。密碼認證有時確實比較煩人,尤其是一些網(wǎng)站為了密碼安全性,要求我們在設(shè)置密碼時必須包含大小寫字母、數(shù)字或特殊字符。
微軟發(fā)布的最新研究報告稱:增強密碼復雜性基本是沒有任何意義的。在本文中,我將簡要分析一下微軟的理論,并且與大家探討下兩個新的密碼安全解決方案。
什么是暴力破解?
暴力破解攻擊是指攻擊者通過系統(tǒng)地組合所有可能性(例如登錄時用到的賬戶名、密碼),嘗試所有的可能性破解用戶的賬戶名、密碼等敏感信息。攻擊者會經(jīng)常使用自動化腳本組合出正確的用戶名和密碼。更多信息請點我
增強密碼復雜性基本沒用
在密碼能強大到無視社工字典的攻擊后,采取的那種攻擊稱為暴力破解。這類暴力破解又分兩種:在線破解和離線破解。
在線破解時,黑客通常使用與用戶正常操作時相同的應(yīng)用接口(比如登錄時用到的web接口),因而可能被某些安全防控規(guī)則限制。然而由于離線破解的必要條件是黑客已經(jīng)獲取了密碼文件,因而黑客們進行密碼暴力猜解時通常是毫無忌憚、無所限制的。
微軟安全研究人員發(fā)現(xiàn),通過在線破解所嘗試直至成功的次數(shù)最高約為100萬次,而離線破解則達到了10億次之多。
因此一個不太復雜的百萬次猜解級別的密碼“tincan24”與一個10億次猜解級別的密碼“7Qr&2M”相比,他們對于在線破解來說都是強密碼,而通過離線破解則都不堪一擊。同時后者還更加難以記住。
這就告訴我們,在離線暴力破解攻擊面前,增強密碼復雜性基本沒用。
當密碼文件泄露后
為了對抗密碼文件泄露后的離線破解攻擊,我們需要做一些防護措施。
在微軟的報告里提到一個通用解決方案:
將每個密碼進行加密,然后將密鑰儲存在硬件安全模塊(HSM)之中。因為HSM并沒有提供密鑰的外部訪問接口,所以想要解密密文,只能通過應(yīng)用程序走正常流程,那樣即使拿到了密文也沒有太大用處。
兩個創(chuàng)新性防護方案
對于防密碼文件泄露,國外安全研究者提出兩個創(chuàng)新性的解決方案:
1、在Derbycon 2014大會上,Benjamin Donnelly和Tim Tomes提出了他們的“球鏈”(BAC)解決方案。BAC提供了一種方法,可以人工填充密碼文件從而增加文件大小。當然,密碼數(shù)據(jù)會安全地存放在文件里不會丟失,這樣一來密碼的猜解難度增大了許多。打個比方,黑客想要在線猜解一個2TB大小的密碼文件,至少得花費1個月的時間。這么長的時間,再加上如此大的數(shù)據(jù)發(fā)送量,黑客的攻擊有非常大的可能性會暴露。
2、以色列某新興公司Dyadic,向公眾展示了它的分布式安全模塊(DSM)。DSM運用了最先進的分布式計算(MPC)加密技術(shù),通過把每組密碼進行分割后,分布式存儲在多個服務(wù)器上。黑客想要破解密碼,需要遍歷多個服務(wù)器。由于各服務(wù)器有著不同的訪問憑證,甚至操作系統(tǒng)也可能不一樣,這會大大增加黑客的破解難度。
把密碼保護的重任壓在用戶身上是不科學的,作為安全研究人員,我們顯然不能一味地要求用戶增加密碼復雜度。而諸如使用對稱/非對稱算法存儲密碼、加鹽(salt)、加密機的使用似乎都是老生常談,技術(shù)也并不新鮮。
有沒有一些新的技術(shù)或方式可以提高密碼及密碼存儲安全性?上文中國外的安全研究者拋出了兩種方法,國內(nèi)的同志們的呢?歡迎在本文評論中討論和交流。
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧