攻擊者使用兩種方法來解密密碼

大多數(shù)計(jì)算機(jī)用戶在注冊在線服務(wù)，創(chuàng)建Windows帳戶以及要求他們選擇密碼的其他活動時(shí)，都會使用弱密碼。選擇更強(qiáng)密碼的唯一情況是當(dāng)服務(wù)強(qiáng)迫他們這樣做時(shí)。大多數(shù)Internet服務(wù)不會這樣做，可能是因?yàn)閾?dān)心許多用戶在遇到密碼創(chuàng)建問題(12個(gè)以上的字符，1個(gè)以上的數(shù)字和特殊字符)時(shí)會離開帳戶創(chuàng)建屏幕。

許多Internet用戶選擇弱密碼的主要原因有兩個(gè)。首先是因?yàn)樗菀子涀。疫@樣做似乎沒有內(nèi)在的危險(xiǎn)。如果服務(wù)不安全，它將要求使用更強(qiáng)的密碼，對嗎?他們肯定最了解。第二，因?yàn)樗麄兛梢浴?/p>

攻擊者使用兩種方法來解密密碼。兩種最常見的方法是暴力破解和字典攻擊。在暴力破解中，所有可能的密碼組合均以aaa開頭進(jìn)行測試，或者要求的最低密碼最多為8個(gè)字符。為什么是八個(gè)?因?yàn)榇撕?，如果您使用家庭設(shè)置來破解密碼，則需要數(shù)年才能獲得結(jié)果。

Ars Technica昨天報(bào)道了一個(gè)有關(guān)25 gpu群集的故事，該群集在不到六個(gè)小時(shí)的時(shí)間內(nèi)破解了八個(gè)或更少字符的每個(gè)標(biāo)準(zhǔn)Windows密碼。該機(jī)器專為暴力破解算法而設(shè)計(jì)，可以以以前無法在家中使用的速度攻擊其他45種算法。

構(gòu)建機(jī)器的安全研究人員針對泄漏的LinkedIn密碼數(shù)據(jù)庫測試了其前身。結(jié)果?通過使用暴力破解和5億個(gè)強(qiáng)詞列表的組合，所有650萬個(gè)密碼中有90%被它破解了。在新機(jī)器的幫助下，攻擊只會持續(xù)四分之一的時(shí)間。盡管舊機(jī)器的155億個(gè)猜測是驚人的，但新機(jī)器對Sha1(LinkedIn算法)的630億猜測又一次提高了賭注。

盡管非常引人注目，但需要注意的是，這僅適用于脫機(jī)攻擊，在該脫機(jī)攻擊中，已檢索到密碼數(shù)據(jù)庫或文件并在本地可用。速度很大程度上取決于所使用的算法。例如，MD5最高可達(dá)到180G / s，而較慢的散列(如bcrypt(05))則可達(dá)到71k / s。

破解密碼

在您的密碼中添加其他字符也將極大地提高游戲質(zhì)量。盡管該機(jī)器能夠使用當(dāng)今互聯(lián)網(wǎng)上許多站點(diǎn)所使用的快速算法強(qiáng)行強(qiáng)制使用八個(gè)或更少的字符密碼，但是當(dāng)使用更長的密碼時(shí)，它將碰壁。例如，另外兩個(gè)字符將使處理時(shí)間增加到數(shù)年。

需要指出的是，攻擊者通常結(jié)合使用字典攻擊和暴力破解。字典攻擊會針對數(shù)據(jù)庫測試單詞列表，這就是為什么永遠(yuǎn)不要選擇字典單詞(例如“ password”，“ computer”或“ princess”)或修改后的字典單詞(例如“ password1”，“ Micro $ oft”)的原因或“ princ3ss”以保護(hù)其帳戶。

唯一可行的方法是每次注冊服務(wù)時(shí)都使用密碼管理器來創(chuàng)建強(qiáng)大的唯一密碼。您可以為此使用離線密碼管理器(例如KeePass)或在線管理器(例如LastPass)。對于Windows和其他操作系統(tǒng)，建議使用DiskCryptor之類的程序?qū)τ脖P驅(qū)動器進(jìn)行加密，以保護(hù)驅(qū)動器上的數(shù)據(jù)免受攻擊。