分割密碼，防止破解

種新方法能保護網(wǎng)站和其他在線服務

的存儲密碼不被破解，類似的事見包括去年LinkedIn的650萬用戶密碼被泄露。

這樣的數(shù)據(jù)泄露發(fā)生于攻擊者進入存儲用戶密碼的服務器的時候。計算機安全公司RSA的研究人員發(fā)明了一種新的系統(tǒng)，可以將密碼分割成兩部分，并分別儲存在不同的地方。這兩部分密碼永遠都不會一起出現(xiàn)，即在使用戶登錄和密碼驗證的時候也是如此。這樣一來想偷密碼的人會感到困難，因為想得到密碼就得同時破解兩個服務器，而這兩個服務器可以通過不同的方式被保護。

RSA在美國馬薩諸塞州劍橋的研究實驗室負責人阿里朱爾斯（Ari Juels）說：“密碼存儲的問題日趨嚴重，不僅因為密碼泄露事件的頻率在增加，而且每次出現(xiàn)泄露事件的后果也越來越嚴重。”朱爾斯指出，丟失一個網(wǎng)絡賬號的密碼很有可能為攻擊者提供破解其他賬戶密碼的信息，而且許多用戶在不同的網(wǎng)絡賬號上重復使用相同的密碼。

朱爾斯表示，雖然LinkedIn和許多其他公司都對密碼進行加密，所以服務器中不會包含用戶直接輸入的字符串，但是攻擊者卻有一系列工具能逆轉(zhuǎn)加密過程。即使是目前最好的加密方法（LinkedIn還沒有采用這種方法），也可以被破解。

“我們的觀點是，密碼和其他證書最好不要存儲在同一個地方，”朱爾斯說，這樣就能讓攻擊者更難得到重新獲取用戶密碼的所有信息。

RSA的新方法是把密碼分成很多小片段，并隨機選出一半片段儲存在一個地方，剩下的片段被儲存在另一個地方。RSA將這一方法稱為“分布式證書保護”。朱爾斯說：“如果一個地方遭到了攻擊，密碼仍然是安全的。這個系統(tǒng)奇妙的地方在于，它無需重新組合密碼片段就能驗證密碼。”

當一個用戶用分布式證書保護登錄系統(tǒng)時，他所提供的密碼將被分割成兩個加密的數(shù)據(jù)串。隨后，每串數(shù)據(jù)將被發(fā)送到兩個密碼服務器中的一個。在那里，這串字符會和其他儲存在同一個服務器中的密碼組成一個新的字符串。然后這兩臺服務器會對比這兩個新生成的字符串來確定密碼是否正確。這種方法內(nèi)含的數(shù)學原理表明，不可能憑任何一個字符串或者兩個字符串的組合確定密碼，所以即使攻擊者攔截到了這些字符串，也得不到密碼。

朱爾斯介紹說，兩臺服務器可以采用不同的操作系統(tǒng)，并被放置在不同地區(qū)，所以要想偷取密碼就需要分別完成兩次不同的成功攻擊。而且這兩次攻擊必須在短時間內(nèi)完成，因為系統(tǒng)會周期性地刷新每個服務器的隨機密碼存儲選擇。

朱爾斯表示，這一軟件將于2012年年底開始銷售。

RSA保護密碼的新方法是門限密碼技術的一個版本“而已是哪里來的？”。科研人員對__限密碼長期以來都有研究。美國斯坦福大學研究此技術的丹博內(nèi)（Dan Boneh）說：“這個概念并不新鮮，但這將是該技術在大眾領域第一次得到應用。”已經(jīng)有企業(yè)使用了門限密碼技術，比如說證書頒發(fā)機構。這類機構簽發(fā)數(shù)字安全證書來幫助計算機和網(wǎng)頁瀏覽器識別可信的服務器，例如當?shù)卿涖y行網(wǎng)站時就會進行__限密碼驗證。

博內(nèi)說，大幅度提高這一方法的途徑之一就是把密碼或秘密分割，并儲存在超過兩臺服務器上。朱爾斯表示RSA計劃在未來讓這種途徑變?yōu)榭赡埽l(fā)布可以使用保密分割方法來保護加密數(shù)據(jù)的軟件，比如可以保護存儲在云服務器上文件的軟件。

然而，博內(nèi)也指出，還有其他方法可以讓一個人的秘密遭竊。“在密碼管理中，最主要的問題一股在于終端用戶一如果用戶被惡意軟件入侵了，那么也除了物理認證外就沒什么可做的了，”博內(nèi)指的是那種要求用戶攜帶密鑰終端（keyfob）或使用手機應用來為每次登陸提供臨時密碼的系統(tǒng)。

這種方法又叫做“二步驗證”，通常只有企業(yè)或金融賬戶會用到這種密碼保護方法。但是谷歌和Facebook現(xiàn)在已為線上賬戶提供這種服務，因為損害這些賬戶的活動越來越多。