黑客是怎樣破解密碼的，為什么您阻止不了他們

Maria+Korolov著+Charles譯

專家們認為，企業(yè)早就不應(yīng)該依賴傳統(tǒng)的密碼了。他們應(yīng)該轉(zhuǎn)而采用更安全的訪問方法，例如，多重身份認證（MFA）、生物識別和單點登錄（SSO）系統(tǒng)等。據(jù)最新的《Verizon數(shù)據(jù)泄露調(diào)查報告》，81%黑客導致的泄露事件都與被盜密碼或者弱密碼有關(guān)。

首先，讓我們來討論一下密碼破解技術(shù)。當攻擊目標是企業(yè)、個人或者公眾部門的時候，情況雖各有不同，但最終結(jié)果通常是一樣的——黑客獲勝。

從散列密碼文件中破解密碼

如果一家公司的所有密碼同時被破解，那通常是因為密碼文件被盜了。有的公司以明文列出密碼，而安全意識強的公司則通常以散列的形式保存其密碼文件。Verodin有限公司的首席信息安全官Brian Contos指出，哈希文件用于保護域控制器、LDAP和Active Directory等企業(yè)認證平臺，以及很多其他系統(tǒng)的密碼。

這些散列，包括加鹽散列，已經(jīng)不是那么非常安全了。采用散列方式對密碼加擾，使密碼不能再被解讀。要檢查密碼是否有效，登錄系統(tǒng)對用戶輸入的密碼進行加擾，并將其與之前已存檔并經(jīng)過哈希處理的密碼進行比較。

截獲了散列密碼文件的攻擊者使用所謂“彩虹表”，通過簡單搜索法來破解散列文件。他們還可以購買專門設(shè)計開發(fā)的密碼破解硬件，租用亞馬遜或者微軟等公有云上的空間，構(gòu)建或者租用僵尸網(wǎng)絡(luò)進行破解。

攻擊者如果自己不是密碼破解專家，還可以外包。Contos說：“我可以租用這些服務(wù)幾個小時，幾天，甚至幾周的時間——通常都能得到支持。這個領(lǐng)域有很多專業(yè)化的東西。”

因此，即使以前被認為是安全的密碼，破解散列密碼的時間也不再是數(shù)百萬年了。他說：“根據(jù)我對人們創(chuàng)建密碼的經(jīng)驗，通常在不到24小時內(nèi)就能破解80%到90%的密碼。只要有足夠的時間和資源，可以破解任何密碼。不同之處只是在于時間——數(shù)小時、數(shù)天或者數(shù)星期。

這一點尤其適用于任何由人類創(chuàng)建的密碼，而不是計算機隨機生成的密碼。他說，當用戶想牢記密碼時，更長的密碼是很好的做法，例如密碼口令，但它不能替代強MFA。

被盜的散列文件特別容易導致攻擊，因為所有的工作都是在攻擊者的計算機上完成的。他們不必向網(wǎng)站或者應(yīng)用程序發(fā)送試用密碼，看看是否有效。

Coalfire實驗室的安全研究員Justin Angel表示：“我們在Coalfire實驗室都喜歡使用Hashcat，并配備了專用的破解機器，它有多個圖形處理單元，用于通過密碼散列算法來破解密碼列表。我們用這種方法經(jīng)常在一夜之間就能破解數(shù)千個密碼。”

僵尸網(wǎng)絡(luò)造成大規(guī)模市場攻擊

攻擊大型公共網(wǎng)站時，攻擊者使用僵尸網(wǎng)絡(luò)來嘗試各種登錄用戶和密碼的組合。他們使用從其他網(wǎng)站竊取的登錄憑證列表以及人們通常使用的密碼表。

據(jù)Lieberman軟件公司總裁Philip Lieberman，這些列表是免費提供的，或者成本很低，其中包括大約40%所有互聯(lián)網(wǎng)用戶的登錄信息。他說：“過去像雅虎這樣被攻破的公司都曾創(chuàng)建過犯罪分子可以利用的大量的數(shù)據(jù)庫。”

通常，這些密碼在很長一段時間內(nèi)都有效。Preempt安全公司的首席技術(shù)官Roman Blachman表示：“即使發(fā)生了泄露事件，很多用戶仍然沒有修改他們已經(jīng)泄露的密碼。”

比如說，一名黑客想進入銀行賬戶。多次登錄同一帳戶將觸發(fā)警報、鎖定或者其他安全措施。Ntrepid公司首席科學家Lance Cottrell說，那么，他們開始時，使用一個龐大的已知電子郵件地址列表，然后找出一些人們最常用的密碼。他說：“他們嘗試用最常用的密碼登錄每一個電子郵件地址。因此每個帳戶只失敗一次。”

他們會等幾天，然后用下一個最常用的密碼來再次嘗試每一個電子郵件地址。他補充說：“他們可以使用其僵尸網(wǎng)絡(luò)中被挾持的數(shù)百萬臺計算機，所以目標網(wǎng)站并沒有看到所有的嘗試是來自一個攻擊源。”

這個行業(yè)開始著手解決這個問題。使用像領(lǐng)英、臉書或者谷歌等這樣的第三方認證服務(wù)有助于減少用戶要記住的密碼數(shù)量。雙重身份認證（2FA）成為主要云供應(yīng)商和金融服務(wù)網(wǎng)站以及大型零售商們共同使用的認證手段。

SecureWorks安全研究員James Bettke表示，標準制定機構(gòu)也在加緊采取措施。6月份，NIST為專門解決這個問題發(fā)布了一套更新后的《數(shù)字身份指南》。他說：“它承認，密碼復雜性要求和周期性重置實際上會導致更弱的密碼。密碼疲勞導致用戶重用以前的密碼，還是一直使用很容易被猜到的密碼。”

VASCO數(shù)據(jù)安全公司的全球法規(guī)和標準總監(jiān)Michael Magrath說，F(xiàn)IDO聯(lián)盟也在努力推廣強有力的認證標準。他說：“靜態(tài)密碼既不安全也不保密。”

除了標準，還有行為生物識別和面部識別等新的“無接觸”技術(shù)，這些有助于提高消費網(wǎng)站和手機應(yīng)用程序的安全性。

您的密碼已經(jīng)被盜了嗎？

為了攻擊某個人，攻擊者檢查是否已經(jīng)從其他網(wǎng)站竊取了該用戶的憑證，這樣就有可能使用相同的密碼或者類似的密碼。OpenText公司的安全、分析和發(fā)現(xiàn)高級副總裁兼總經(jīng)理Gary Weiss說：“幾年前領(lǐng)英的泄露事件就是一個很好的例子。黑客竊取了馬克·扎克伯格的領(lǐng)英密碼，而他很顯然在其他社交媒體上使用了相同的密碼，導致黑客可以訪問其他的平臺。”

據(jù)一家提供密碼管理工具的公司Dashlane的研究，一般人會有150個需要密碼的賬戶。要記住的密碼太多了，所以大多數(shù)人只使用一個或者兩個密碼，有一些簡單的變化。這是個問題。

Dashlane有限公司首席執(zhí)行官Emmanuel Schalit說：“有一個常見的錯誤的概念，認為如果您的密碼非常復雜，就可以用在任何地方，而且是安全的。這絕對是錯誤的。當黑客被發(fā)現(xiàn)后，為時已晚，此時，您非常復雜的密碼已經(jīng)被攻破，您所有的信息也是如此。”（您可以訪問“我是不是已經(jīng)被泄露了”網(wǎng)站，看看自己受密碼保護的帳戶是不是已經(jīng)被泄露了。）endprint

一旦任何一個網(wǎng)站被黑客入侵，該密碼被盜，就可以利用它來訪問其他帳戶。如果黑客可以進入網(wǎng)站用戶的電子郵件帳戶，他們將使用它重置用戶在其他地方的密碼。Cottrell說：“您銀行或者投資賬戶有很好的密碼，但如果您的gmail賬戶并沒有一個很好的密碼，黑客們能夠破解這個密碼，而這是您的密碼恢復電子郵件，那您就危險了。有很多知名人士的賬戶被密碼重置攻擊破解了。”

如果他們發(fā)現(xiàn)了不限制登錄嘗試的網(wǎng)站或者企業(yè)內(nèi)部應(yīng)用程序，也會暴力破解密碼，手段包括使用常用密碼表、字典查找表，以及John the Ripper、Hashcat和Mimikatz等密碼破解工具。

而地下犯罪還提供商業(yè)服務(wù)，使用更復雜的算法來破解密碼。xMatters有限公司首席技術(shù)官Abbas Haider Ali指出，這些服務(wù)很大程度上得益于不斷泄露的密碼文件。

您能想到的任何辦法，包括用符號替代字母、使用巧妙的縮寫、鍵盤圖案或者科幻小說中奇怪的名字，等等——別人早就想到了。他說：“不管您有多聰明，人類生成的密碼都沒用。”

Ntrepid的Cottrell說，密碼破解應(yīng)用程序和工具這些年來已經(jīng)變得非常復雜。他說：“而人類在選擇密碼方面卻沒有什么進步。”

對于高價值目標，攻擊者也會研究它們，尋找能夠幫助他們回答安全恢復問題的信息。他補充說，用戶帳戶通常就是電子郵件地址，特別是公司的電子郵件地址，這很容易被猜到，因為這些地址是標準化的。

怎樣檢查密碼的強度

很多網(wǎng)站在告訴用戶他們選擇的密碼是否足夠強大方面做得很差。他們一般已經(jīng)過時幾年了，至少應(yīng)要求密碼長度不少于8個字符，有大小寫字母、符號和數(shù)字的組合。

第三方網(wǎng)站可以評估您密碼的強度，但是用戶應(yīng)該謹慎使用這些網(wǎng)站。Cottrell說：“世界上最糟糕的事情就是隨機找一個網(wǎng)站，然后輸入密碼，讓它進行測試。”

而如果您好奇地想知道，需要多長時間才能破解一個密碼，那么您可以試一試一個網(wǎng)站，Dashlane的HowSecureIsMyPassword.net。另一個評估密碼強度的網(wǎng)站是軟件工程師Aaron Toponce的熵測試儀，該網(wǎng)站可以檢查字典詞匯、黑客文和常見的模式。他建議選擇一個至少有70位熵的密碼。同樣，他建議不要在網(wǎng)站上輸入您的實際密碼。

對大多數(shù)用戶，以及他們登錄的網(wǎng)站和應(yīng)用程序，這就帶來了問題。用戶怎樣才能在每一個網(wǎng)站上使用唯一的密碼，每三個月更改一次，而且足夠長以確保安全，還要一直記住這些密碼？

Cottrell說：“經(jīng)驗是，如果您能記住它，那這就不是一個好密碼。當然，如果您能記住一兩個以上的密碼，那就不是一個好密碼了——因為這總是一些單詞或者網(wǎng)站的名字。”

他說，相反，使用隨機生成的、網(wǎng)站允許的長度最長的密碼，并使用安全密碼管理系統(tǒng)進行存儲。他說：“我的密碼庫中有1，000多個密碼，它們幾乎都是20多個字符。”

對于密碼庫的主密碼，他使用了一個長密碼口令。他說：“這不應(yīng)該是一個短語，也不應(yīng)該來自任何一本書，但對您來說仍然能記住。為了能記住密碼，我的建議是，密碼應(yīng)該非常‘猥褻——您甚至都羞于啟齒去告訴任何人。如果您有一個30個字符的密碼口令，那基本上就不可能被暴力破解。各種組合就爆炸了。”

按照Dashlane安全負責人Cyril Leclerc的說法，對于網(wǎng)站或者應(yīng)用程序的個人密碼，20個字符的長度是合理的，但前提是它們是隨機產(chǎn)生的。他說：“破解者能夠破解一個由人類生成的20個字符的密碼，但破解不了隨機生成的密碼。即使未來出現(xiàn)了極其強大的計算機，黑客也只能破解一個密碼，而且還得在這項任務(wù)上花費大量的時間。”endprint