使用云計(jì)算服務(wù)來(lái)替代在公司里設(shè)立維護(hù)大量服務(wù)器,顯然對(duì)節(jié)省企業(yè)的成本有利。不過(guò)現(xiàn)在看來(lái)從云計(jì)算服務(wù)中受惠最大的恐怕是黑客等群體,黑客們開(kāi)始利用亞馬遜EC2等云計(jì)算服務(wù)來(lái)暴力破解并竊取用戶信用卡密碼。
不過(guò)據(jù)安全專家David Campbell的計(jì)算,即便用戶不使用安全專家建議的大小寫(xiě)字母混合式的密碼組合,使用亞馬遜提供的云計(jì)算服務(wù)進(jìn)行密碼暴力破解的黑客,出于成本過(guò)高的原因可能也將無(wú)法使用這種服務(wù)對(duì)具備12位長(zhǎng)度的密碼進(jìn)行破解。
亞馬遜公司為用戶提供一種名為EC2的云計(jì)算網(wǎng)絡(luò)服務(wù),這種服務(wù)按小時(shí)計(jì)費(fèi).而如果要利用這種服務(wù)來(lái)暴力破解長(zhǎng)度為12位的密碼,黑客需要為此支付150萬(wàn)美元以上金額的服務(wù)費(fèi)。不過(guò)如果密碼的長(zhǎng)度縮短為11位,那么便只需要不到6萬(wàn)美元服務(wù)費(fèi)即可,而10位密碼則需要支付不到2300美元的費(fèi)用。
按照傳統(tǒng)的安全建議,在密碼中采用大小寫(xiě)字母混搭的形式更為安全一些,但根據(jù)最近的研究,其提升的安全等級(jí)并不如我們所想像得那么大,而密碼的位數(shù)對(duì)密碼安全性的提升作用則更大一些。采用這種混搭形式的10位密碼只需要支付不到6萬(wàn)美元的服務(wù)費(fèi),便可以利用EC2云計(jì)算服務(wù)暴力破解成功。
而11 位這樣的密碼則需要花費(fèi)210萬(wàn)美元。而如果密碼的長(zhǎng)度較短,即使用戶在設(shè)置密碼時(shí)采用諸如“!@#$%”這類生僻字符,暴力破解密碼同樣比較容易。采用 EC2計(jì)算8位長(zhǎng)度的這種密碼的費(fèi)用大約是10.6萬(wàn)美元左右。
“由于黑帽組織已經(jīng)開(kāi)始利用云計(jì)算等超級(jí)計(jì)算服務(wù)開(kāi)展破解行動(dòng),因此我們這批負(fù)責(zé)安全管理的技術(shù)人員需要重新考慮一些過(guò)去被我們忽視的安全細(xì)節(jié)。黑客們竊取了用戶的信用卡后,可以利用這些卡里的錢來(lái)購(gòu)買計(jì)算能力強(qiáng)勁的機(jī)器,這些機(jī)器的威力甚至比國(guó)家安全機(jī)關(guān)中裝備的超級(jí)計(jì)算機(jī)還強(qiáng)。”
盡管亞馬遜向單獨(dú)一名用戶提供的云計(jì)算服務(wù)計(jì)算能力有限,但黑客們也有對(duì)應(yīng)的辦法,他們可以利用竊取的多個(gè)信用卡賬號(hào)同時(shí)登陸云計(jì)算服務(wù),讓這些計(jì)算同時(shí)進(jìn)行。
Cambell在這次的假設(shè)中采用了一種很簡(jiǎn)單的算法:
在計(jì)算暴力破解由8位全小寫(xiě)字母組成的密碼的費(fèi)用時(shí),他簡(jiǎn)單地將暴力破解的次數(shù)設(shè)為26的8次方,這樣,加上大寫(xiě)字母以及10個(gè)阿拉伯?dāng)?shù)字后,暴力破解的次數(shù)則變?yōu)?26+26+10)的8次方。而他的密碼破解軟件則每個(gè)小時(shí)可以暴力計(jì)算出93.6億個(gè)密碼,將62的8次方除以93.6億,然后再乘以EC2服務(wù)的服務(wù)費(fèi),每小時(shí)30美分,這樣暴力破解8位全小寫(xiě)字母密碼的費(fèi)用計(jì)算式便為:((26+26+10)^8/ 9,360,000,000) * .30.
而暴力破解由12位大小寫(xiě)字母+阿拉伯?dāng)?shù)字組成密碼所需的費(fèi)用則為((26+26+10)^12 / 9,360,000,000) * .30使用云計(jì)算服務(wù)來(lái)替代在公司里設(shè)立維護(hù)大量服務(wù)器,顯然對(duì)節(jié)省企業(yè)的成本有利。不過(guò)現(xiàn)在看來(lái)從云計(jì)算服務(wù)中受惠最大的恐怕是黑客等群體。
不久以前,安全專家還對(duì)102位的RSA密碼長(zhǎng)度剛到放心。但隨著電腦技術(shù)的發(fā)展,現(xiàn)在愿意使用2048位密碼長(zhǎng)度的安全專家數(shù)量也越來(lái)越多。而現(xiàn)在云計(jì)算也開(kāi)始加入到為密碼破解技術(shù)提供服務(wù)的陣營(yíng)中去,是時(shí)候?qū)σ恍﹤鹘y(tǒng)的安全措施進(jìn)行重新考慮和修改了。
京公網(wǎng)安備 11010502049343號(hào)