攻擊者使用兩種方法來解密密碼

大多數(shù)計算機用戶在注冊在線服務(wù)，創(chuàng)建Windows帳戶以及要求他們選擇密碼的其他活動時，都會使用弱密碼。選擇更強密碼的唯一情況是當(dāng)服務(wù)強迫他們這樣做時。大多數(shù)Internet服務(wù)不會這樣做，可能是因為擔(dān)心許多用戶在遇到密碼創(chuàng)建問題(12個以上的字符，1個以上的數(shù)字和特殊字符)時會離開帳戶創(chuàng)建屏幕。

許多Internet用戶選擇弱密碼的主要原因有兩個。首先是因為它更容易記住，而且這樣做似乎沒有內(nèi)在的危險。如果服務(wù)不安全，它將要求使用更強的密碼，對嗎?他們肯定最了解。第二，因為他們可以。

攻擊者使用兩種方法來解密密碼。兩種最常見的方法是暴力破解和字典攻擊。在暴力破解中，所有可能的密碼組合均以aaa開頭進行測試，或者要求的最低密碼最多為8個字符。為什么是八個?因為此后，如果您使用家庭設(shè)置來破解密碼，則需要數(shù)年才能獲得結(jié)果。

Ars Technica昨天報道了一個有關(guān)25 gpu群集的故事，該群集在不到六個小時的時間內(nèi)破解了八個或更少字符的每個標(biāo)準(zhǔn)Windows密碼。該機器專為暴力破解算法而設(shè)計，可以以以前無法在家中使用的速度攻擊其他45種算法。

構(gòu)建機器的安全研究人員針對泄漏的LinkedIn密碼數(shù)據(jù)庫測試了其前身。結(jié)果?通過使用暴力破解和5億個強詞列表的組合，所有650萬個密碼中有90%被它破解了。在新機器的幫助下，攻擊只會持續(xù)四分之一的時間。盡管舊機器的155億個猜測是驚人的，但新機器對Sha1(LinkedIn算法)的630億猜測又一次提高了賭注。

盡管非常引人注目，但需要注意的是，這僅適用于脫機攻擊，在該脫機攻擊中，已檢索到密碼數(shù)據(jù)庫或文件并在本地可用。速度很大程度上取決于所使用的算法。例如，MD5最高可達到180G / s，而較慢的散列(如bcrypt(05))則可達到71k / s。

破解密碼

在您的密碼中添加其他字符也將極大地提高游戲質(zhì)量。盡管該機器能夠使用當(dāng)今互聯(lián)網(wǎng)上許多站點所使用的快速算法強行強制使用八個或更少的字符密碼，但是當(dāng)使用更長的密碼時，它將碰壁。例如，另外兩個字符將使處理時間增加到數(shù)年。

需要指出的是，攻擊者通常結(jié)合使用字典攻擊和暴力破解。字典攻擊會針對數(shù)據(jù)庫測試單詞列表，這就是為什么永遠不要選擇字典單詞(例如“ password”，“ computer”或“ princess”)或修改后的字典單詞(例如“ password1”，“ Micro $ oft”)的原因或“ princ3ss”以保護其帳戶。

唯一可行的方法是每次注冊服務(wù)時都使用密碼管理器來創(chuàng)建強大的唯一密碼。您可以為此使用離線密碼管理器(例如KeePass)或在線管理器(例如LastPass)。對于Windows和其他操作系統(tǒng)，建議使用DiskCryptor之類的程序?qū)τ脖P驅(qū)動器進行加密，以保護驅(qū)動器上的數(shù)據(jù)免受攻擊。