如今,密碼破解者能夠采用更先進的密碼破解軟件和工具獲取比以往更多的密碼。 行業專家們認為,企業數據的安全依靠傳統密碼的時代已經過去了。他們應該采用更安全的訪問方法,如多因素身份驗證(MFA),生物識別,以及單點登錄(SSO)系統。根據Verizon公司最近發布的“數據泄露調查報告”,81%的與黑客有關的違規行為涉及被盜或弱密碼。 首先了解一下密碼破解技術。當目標是企業,個人或公眾時,雖然故事是不同的,但最終結果通常是相同的。因為黑客贏了。 從哈希密碼文件中破解密碼 如果企業所設定的密碼很快被破解,通常是其密碼文件已被盜用。一些企業存有自己的明文密碼列表,而有安全意識的企業通常以密碼形式保存密碼文件。Verodin公司的首席信息官安全(CISO)BrianContos說,哈希文件可以用于保護域控制器的密碼、LDAP和Active Directory等企業認證平臺,以及許多其他系統的密碼。 這些哈希(包括加鹽哈希)加密不再是非常安全的方式。哈希是擾亂密碼的一種方式,使得文件不能再被他人解密。而如果人們檢查密碼是否有效,在登錄之后,系統會打亂用戶輸入的密碼,并將其與之前已存檔的密碼進行比較。 攻擊者手中的密碼文件使用一種“彩虹表”來解密哈希方法簡單的搜索。他們還可以購買專為密碼破解而設計的專用硬件,從亞馬遜或微軟公司等公共云提供商租用空間,建立或租用僵尸網絡來破解密碼。 那些本身并不是密碼破解專家的攻擊者可以進行外包。Contos說:“這些人可以租用這些服務幾個小時,幾天甚至幾個星期,而且通常也有技術支持。人們在這個領域將有看到很多專業化的應用。” Contos表示,破解哈希列密碼只需要一定的時間,即使是以前被認為是十分安全的密碼,其破解時間也不會長達數百萬年。他說:“根據我對人們如何創建密碼的經驗,通常在不到24小時內,黑客就會破解80%到90%的密碼。如果有足夠的時間和資源,黑客就能夠破解所有的密碼。而不同的只是需要數小時、數天或數周的時間罷了。” 對于人類創建的任何密碼而言,實際上不如由計算機隨機生成的密碼。他說,如果用戶需要一些他們保證安全的東西,那么采用一個更長的密碼是很好的做法,但它不能代替強大的多因子身份驗證(MFA)。 被盜的哈希文件特別容易受到攻擊,因為所有的工作都是在攻擊者的計算機上完成的。因此沒有必要向網站或應用程序發送試用密碼,看它是否有效。 Coalfire實驗室的安全研究員Justin Angel說:“我們更喜歡采用Hashcat,配備專用的破解機器,并輔以多個圖形處理單元,通過密碼哈希算法來破解密碼列表。使用這種方法在一夜之間破解數以千計的密碼,這種情況并不罕見。” 僵尸網絡實現大規模市場的攻擊 對大型公共場所使用的僵尸網絡攻擊,攻擊者嘗試采用登錄名和密碼的不同組合進行登錄。他們使用從其他站點竊取的登錄憑據和人們通常使用的密碼進入。 利伯曼軟件公司總裁Philip Lieberman表示,這些密碼可以免費獲得或以低成本獲得,其中包括大約40%的互聯網用戶的登錄信息。他說:“創建了大量數據庫的雅虎公司這樣的行業巨頭都沒有防止數據泄露,黑客可以利用這些數據謀利。” 通常,這些密碼長期保持有效。Preempt Security公司首席技術官Roman Blachman表示:“即使在違約事件發生之后,許多用戶也不會改變他們已經泄露的密碼。” “例如,黑客想進入銀行賬戶。多次登錄同一帳戶將觸發警報、鎖定或其他安全措施。所以,他們通常從一個已知的電子郵件地址的名單開始,然后獲取人們使用的最常見的密碼列表。”Ntrepid公司首席科學家LanceCottrell說,“他們嘗試采用最常見的密碼登錄到每一個電子郵件地址,而每個賬戶都會經歷一次失敗。” “黑客在等待幾天之后,然后嘗試使用另一個最常見的密碼的每個電子郵件地址。”他說,“黑客可以使用僵尸網絡中的上百萬臺受感染的電腦進行嘗試,所以目標網站看不到來自單一來源的所有嘗試。” 行業廠商正在開始解決這個問題。使用LinkedIn,Facebook或Google等第三方認證服務有助于減少用戶必須記住的密碼數量。而進行雙重身份驗證(2FA)對于主要云供應商以及金融服務站點和主要零售商而言正變得越來越常見。 SecureWorks公司安全研究員James Bettke表示,標準制定機構也在加緊實施安全標準。今年六月,美國國家標準與技術研究院(NIST)發布了一套更新的數字身份指南,專門處理這個問題。他表示:“密碼復雜性要求和定期重置實際上會導致密碼變弱,而這樣將導致用戶重用密碼,并回收可預測的模式。 數據安全商VASCO公司的全球法規和標準總監Michael Magrath說,即線上快速身份驗證(FIDO)聯盟也正致力于推廣強有力的認證標準。他說:“靜態密碼是不安全的。” 除了這些標準之外,還有一些新技術(如行為特征識別技術和面部識別技術)可以幫助提高消費者網站和移動應用程序的安全性。 你的密碼被盜了嗎? 針對個人用戶,網絡攻擊者檢查用戶的憑據是否已經從其他網站盜取,因為有可能使用相同的密碼或類似的密碼。OpenText公司的高級副總裁兼安全分析總經理Gary Weiss說:“幾年前,LinkedIn的數據泄露事件就是一個很好的例子。黑客竊取了Facebook創始人馬克•扎克伯格的LinkedIn密碼,并且能夠訪問其他平臺,因為他顯然在其他社交媒體重新使用了這個密碼。” 據一家提供密碼管理工具提供商Dashlane公司的研究,每個人平均有150個需要密碼的賬戶,這意味著人們要記住太多的密碼,因此大多數人只使用一個或兩個密碼,有的只是進行一些簡單的變化。但這是一個嚴重的問題。 Dashlane公司首席執行官Emmanuel Schalit表示:“人們有一個常見的誤解,認為如果有一個非常復雜的密碼,就可以在任何地方使用,并會保持安全,這種想法是完全錯誤的。在這一點上,如果用戶的一個非常復雜的密碼已經被盜用,那意味著所有信息可能會全部泄露。” 如果某人可能在其銀行或投資賬戶設置一個安全性非常好的密碼,但是如果其gmail郵箱沒有安全的密碼,攻擊者可以進入郵箱,而通過電子郵件進行密碼恢復,攻擊者將擁有你的文件。 一旦任何一個網站被黑客入侵,其密碼被竊取,就可以利用它來訪問其他帳戶。如果黑客能夠進入企業用戶的電子郵件帳戶,他們將在其他地方重置用戶的密碼。“例如,如果某人可能在其銀行或投資賬戶設置一個安全性非常好的密碼,但是如果其gmail郵箱沒有安全的密碼,攻擊者可以進入郵箱,而通過電子郵件進行密碼恢復。”Schalit說,“有一些人遭遇了密碼重置的攻擊。” 如果黑客發現一個沒有限制登錄嘗試的網站或內部企業應用程序,也會嘗試使用通用密碼列表、字典查找表和密碼破解工具(如Johnthe Ripper,Hashcat,或Mimikatz)。 而對于商業服務,網絡犯罪分子可以使用更復雜的算法來破解密碼。xMatters公司首席技術官Abbas HaiderAli表示,密碼文件的持續泄漏將為這些商業服務提供極大的幫助。 人們想到的密碼,如采用符號代替字母,使用巧妙的縮寫或鍵盤模式。或科幻小說中不尋常的名字,但這些方法別人也會想到。他說:“不管設置的人有多聰明,人為設置的密碼對于高明的黑客來說都是毫無意義的。” Ntrepid公司的Cottrell說,密碼破解的應用程序和工具如今已經變得非常復雜。他說:“但是人類在選擇密碼方面并沒有得到太多的改善。” 對于一個高價值的攻擊目標,攻擊者也將研究可以幫助他們回答安全恢復問題的信息。用戶帳戶通常只是電子郵件地址,他補充說,企業電子郵件地址很容易被猜測,因為它們是標準化的格式。 如何檢查密碼的強度 在告知用戶選擇的密碼是否安全方面,大多數網站做得很差。他們的密碼通常變得過時,而通常采用的是八個字符的長度,大小寫字母,符號和數字的組合。 第三方網站將評估用戶密碼的強度,但用戶對使用的網站應該小心謹慎。Cottrell說:“糟糕的事情是上一個隨機的網站,輸入密碼進行測試。” 但是,如果人們對密碼破解需要多長時間感到好奇,可以嘗試登錄Dashlane公司的網站HowSecureIsMyPassword.net。另一個測量密碼強度的站點是軟件工程師Aaron Toponce的Entropy TestingMeter,用于檢查字典詞匯,詞匯和常見模式。他建議選擇至少70位熵的密碼。他再次建議不要在網站上輸入真實的密碼。 對于大多數用戶來說,他們登錄的網站和應用程序會產生一些想法。用戶期望為每個站點提供獨特的密碼,每三個月更換一次,并且保證安全時間足夠長,并且還記得這些密碼,這可能實現嗎? Cottrell說:“人們選擇密碼的一個經驗法則是,如果能記住這個密碼,那么就不是一個好的密碼。當然,如果能記住其中一些密碼的話,那么這些就不是安全的密碼。” 他說,使用隨機生成的長度最長的密碼,并使用安全的密碼管理系統進行存儲。他說:“我的密碼保險箱里有超過1000個密碼,幾乎都是20多個字符的長度。” 對于數據庫等關鍵密碼,建設使用長密碼。Cottrell說,“這個密碼不應該是一句話,也不應該是任何一本書的內容,對用戶來說是值得紀念意義的就可以。我的建議是,使用具有30個字符的短語,這對暴力破解密碼的工具來說,實際上是不可能破解的。” Dashlane公司安全負責人Cyril Leclerc的表示,對于網站或應用程序的個人密碼,20個字符是合理的長度,但前提是這些字符是隨機的。他說:“破解者可以破解20個字符的人為設置的密碼,但不會破解隨機生成的密碼,即使有人擁有能力無限的未來計算機,黑客也有可能只破解一個密碼,而且在這項任務上花費了大量的時間,這樣做將會得不償失。”
來源:機房360
石家莊服務器托管 石家莊服務器租用 石家莊機柜租用 石家莊機房
|