那些無孔不入的黑客大神到底是如何破解了你的密碼？

本文共3407字

建議閱讀時間6分鐘

專家們認為，企業早就不應該依賴傳統的密碼了。他們應該轉而採用更安全的訪問方法，例如，多重身份認證(MFA)、生物識別和單點登錄(SSO)系統等。據最新的《Verizon 數據泄露調查報告》，81% 黑客導致的泄露事件都與被盜密碼或者弱密碼有關。

首先，讓我們來討論一下密碼破解技術。當攻擊目標是企業、個人或者公眾部門的時候，情況雖各有不同，但最終結果通常是一樣的——黑客獲勝。

從散列密碼文件中破解密碼

如果一家公司的所有密碼同時被破解，那通常是因為密碼文件被盜了。有的公司以明文列出密碼，而安全意識強的公司則通常以散列的形式保存其密碼文件。Verodin 有限公司的首席信息安全官Brian Contos指出，哈希文件用於保護域控制器、LDAP 和 Active Directory等企業認證平台，以及很多其他系統的密碼。

這些散列，包括加鹽散列，已經不是那麼非常安全了。採用散列方式對密碼加擾，使密碼不能再被解讀。要檢查密碼是否有效，登錄系統對用戶輸入的密碼進行加擾，並將其與之前已存檔並經過哈希處理的密碼進行比較。

截獲了散列密碼文件的攻擊者使用所謂「彩虹表」，通過簡單搜索法來破解散列文件。他們還可以購買專門設計開發的密碼破解硬體，租用亞馬遜或者微軟等公有雲上的空間，構建或者租用殭屍網路進行破解。

攻擊者如果自己不是密碼破解專家，還可以外包。Contos 說：「我可以租用這些服務幾個小時，幾天，甚至幾周的時間——通常都能得到支持。這個領域有很多專業化的東西。」

因此，即使以前被認為是安全的密碼，破解散列密碼的時間也不再是數百萬年了。他說：「根據我對人們創建密碼的經驗，通常在不到 24 小時內就能破解 80%到 90% 的密碼。只要有足夠的時間和資源，可以破解任何密碼。不同之處只是在於時間——數小時、數天或者數星期。

這一點尤其適用於任何由人類創建的密碼，而不是計算機隨機生成的密碼。他說，當用戶想牢記密碼時，更長的密碼是很好的做法，例如密碼口令，但它不能替代強 MFA。

被盜的散列文件特別容易導致攻擊，因為所有的工作都是在攻擊者的計算機上完成的。他們不必向網站或者應用程序發送試用密碼，看看是否有效。

Coalfire 實驗室的安全研究員 Justin Angel 表示：「我們在 Coalfire 實驗室都喜歡使用 Hashcat，並配備了專用的破解機器，它有多個圖形處理單元，用於通過密碼散列演算法來破解密碼列表。我們用這種方法經常在一夜之間就能破解數千個密碼。」

殭屍網路造成大規模市場攻擊

攻擊大型公共網站時，攻擊者使用殭屍網路來嘗試各種登錄用戶和密碼的組合。他們使用從其他網站竊取的登錄憑證列表以及人們通常使用的密碼錶。

據 Lieberman 軟體公司總裁 Philip Lieberman，這些列表是免費提供的，或者成本很低，其中包括大約40%所有互聯網用戶的登錄信息。他說：「過去像雅虎這樣被攻破的公司都曾創建過犯罪分子可以利用的大量的資料庫。」

通常， 這些密碼在很長一段時間內都有效。Preempt 安全公司的首席技術官Roman Blachman表示：「即使發生了泄露事件，很多用戶仍然沒有修改他們已經泄露的密碼。」

比如說，一名黑客想進入銀行賬戶。多次登錄同一帳戶將觸發警報、鎖定或者其他安全措施。Ntrepid 公司首席科學家 Lance Cottrell說，那麼，他們開始時，使用一個龐大的已知電子郵件地址列表，然後找出一些人們最常用的密碼。他說：「他們嘗試用最常用的密碼登錄每一個電子郵件地址。因此每個帳戶只失敗一次。」

他們會等幾天，然後用下一個最常用的密碼來再次嘗試每一個電子郵件地址。他補充說：「他們可以使用其殭屍網路中被挾持的數百萬台計算機，所以目標網站並沒有看到所有的嘗試是來自一個攻擊源。

」這個行業開始著手解決這個問題。使用像領英、臉書或者谷歌等這樣的第三方認證服務有助於減少用戶要記住的密碼數量。雙重身份認證(2FA)成為主要雲供應商和金融服務網站以及大型零售商們共同使用的認證手段。

SecureWorks 安全研究員 James Bettke 表示，標準制定機構也在加緊採取措施。6 月份，NIST 為專門解決這個問題發布了一套更新後的《數字身份指南》。他說：「它承認，密碼複雜性要求和周期性重置實際上會導致更弱的密碼。密碼疲勞導致用戶重用以前的密碼，還是一直使用很容易被猜到的密碼。」

VASCO數據安全公司的全球法規和標準總監 MichaelMagrath 說，FIDO 聯盟也在努力推廣強有力的認證標準。他說：「靜態密碼既不安全也不保密。」

除了標準，還有行為生物識別和面部識別等新的「無接觸」技術，這些有助於提高消費網站和手機應用程序的安全性。

您的密碼已經被盜了嗎?

為了攻擊某個人，攻擊者檢查是否已經從其他網站竊取了該用戶的憑證，這樣就有可能使用相同的密碼或者類似的密碼。OpenText 公司的安全、分析和發現高級副總裁兼總經理 Gary Weiss說：「幾年前領英的泄露事件就是一個很好的例子。黑客竊取了馬克·扎克伯格的領英密碼，而他很顯然在其他社交媒體上使用了相同的密碼，導致黑客可以訪問其他的平台。」

據一家提供密碼管理工具的公司 Dashlane 的研究，一般人會有 150 個需要密碼的賬戶。要記住的密碼太多了，所以大多數人只使用一個或者兩個密碼，有一些簡單的變化。這是個問題。

Dashlane 有限公司首席執行官 Emmanuel Schalit說：「有一個常見的錯誤的概念，認為如果您的密碼非常複雜，就可以用在任何地方，而且是安全的。這絕對是錯誤的。當黑客被發現後，為時已晚，此時，您非常複雜的密碼已經被攻破，您所有的信息也是如此。」(您可以訪問「我是不是已經被泄露了」網站，看看自己受密碼保護的帳戶是不是已經被泄露了。)

一旦任何一個網站被黑客入侵，該密碼被盜，就可以利用它來訪問其他帳戶。如果黑客可以進入網站用戶的電子郵件帳戶，他們將使用它重置用戶在其他地方的密碼。Cottrell 說：「您銀行或者投資賬戶有很好的密碼，但如果您的 gmail 賬戶並沒有一個很好的密碼，黑客們能夠破解這個密碼，而這是您的密碼恢複電子郵件，那您就危險了。有很多知名人士的賬戶被密碼重置攻擊破解了。」

如果他們發現了不限制登錄嘗試的網站或者企業內部應用程序，也會暴力破解密碼，手段包括使用常用密碼錶、字典查找表，以及John the Ripper、Hashcat和 Mimikatz 等密碼破解工具。

而地下犯罪還提供商業服務，使用更複雜的演算法來破解密碼。xMatters 有限公司首席技術官 Abbas HaiderAli 指出，這些服務很大程度上得益於不斷泄露的密碼文件。

您能想到的任何辦法，包括用符號替代字母、使用巧妙的縮寫、鍵盤圖案或者科幻小說中奇怪的名字，等等——別人早就想到了。他說：「不管您有多聰明，人類生成的密碼都沒用。」

Ntrepid 的 Cottrell 說，密碼破解應用程序和工具這些年來已經變得非常複雜。他說：「而人類在選擇密碼方面卻沒有什麼進步。

」對於高價值目標，攻擊者也會研究它們，尋找能夠幫助他們回答安全恢復問題的信息。他補充說，用戶帳戶通常就是電子郵件地址，特別是公司的電子郵件地址，這很容易被猜到，因為這些地址是標準化的。

怎樣檢查密碼的強度

很多網站在告訴用戶他們選擇的密碼是否足夠強大方面做得很差。他們一般已經過時幾年了，至少應要求密碼長度不少於 8 個字元，有大小寫字母、符號和數字的組合。

第三方網站可以評估您密碼的強度，但是用戶應該謹慎使用這些網站。Cottrell 說：「世界上最糟糕的事情就是隨機找一個網站，然後輸入密碼，讓它進行測試。」

而如果您好奇地想知道，需要多長時間才能破解一個密碼，那麼您可以試一試一個網站，Dashlane 的HowSecureIsMyPassword.net。另一個評估密碼強度的網站是軟體工程師 AaronToponce 的熵測試儀，該網站可以檢查字典辭彙、黑客文和常見的模式。他建議選擇一個至少有 70 位熵的密碼。同樣，他建議不要在網站上輸入您的實際密碼。

對大多數用戶，以及他們登錄的網站和應用程序，這就帶來了問題。用戶怎樣才能在每一個網站上使用唯一的密碼，每三個月更改一次，而且足夠長以確保安全，還要一直記住這些密碼?

Cottrell 說：「經驗是，如果您能記住它，那這就不是一個好密碼。當然，如果您能記住一兩個以上的密碼，那就不是一個好密碼了——因為這總是一些單詞或者網站的名字。」

他說，相反，使用隨機生成的、網站允許的長度最長的密碼，並使用安全密碼管理系統進行存儲。他說：「我的密碼庫中有 1,000 多個密碼，它們幾乎都是 20多個字元。」

對於密碼庫的主密碼，他使用了一個長密碼口令。他說：「這不應該是一個短語，也不應該來自任何一本書，但對您來說仍然能記住。為了能記住密碼，我的建議是，密碼應該非常『猥褻』——您甚至都羞於啟齒去告訴任何人。如果您有一個 30 個字元的密碼口令，那基本上就不可能被暴力破解。各種組合就爆炸了。」

按照 Dashlane 安全負責人 Cyril Leclerc 的說法，對於網站或者應用程序的個人密碼，20 個字元的長度是合理的，但前提是它們是隨機產生的。他說：「破解者能夠破解一個由人類生成的 20個字元的密碼，但破解不了隨機生成的密碼。即使未來出現了極其強大的計算機，黑客也只能破解一個密碼，而且還得在這項任務上花費大量的時間。」

作者 Maria Korolov

編譯 Charles

原文網址：http://www.csoonline.com/article/3236716/authentication/how-hackers-crack-passwords-and-why-you-cant-stop-them.html

計 算 機 世 界

CHINA COMPUTERWORLD

關 於 IT 產 業 和 產 業 IT 的 一 切

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！