行業(yè)專家們認為,企業(yè)數(shù)據(jù)的安全依靠傳統(tǒng)密碼的時代已經(jīng)過去了。他們應(yīng)該采用更安全的訪問方法,如多因素身份驗證(MFA),生物識別,以及單點登錄(SSO)系統(tǒng)。根據(jù)Verizon公司最近發(fā)布的“數(shù)據(jù)泄露調(diào)查報告”,81%的與黑客有關(guān)的違規(guī)行為涉及被盜或弱密碼。
首先了解一下密碼破解技術(shù)。當目標是企業(yè),個人或公眾時,雖然故事是不同的,但最終結(jié)果通常是相同的。因為黑客贏了。
從哈希密碼文件中破解密碼
如果企業(yè)所設(shè)定的密碼很快被破解,通常是其密碼文件已被盜用。一些企業(yè)存有自己的明文密碼列表,而有安全意識的企業(yè)通常以密碼形式保存密碼文件。Verodin公司的首席信息官安全(CISO)Brian Contos說,哈希文件可以用于保護域控制器的密碼、LDAP和Active Directory等企業(yè)認證平臺,以及許多其他系統(tǒng)的密碼。
這些哈希(包括加鹽哈希)加密不再是非常安全的方式。哈希是擾亂密碼的一種方式,使得文件不能再被他人解密。而如果人們檢查密碼是否有效,在登錄之后,系統(tǒng)會打亂用戶輸入的密碼,并將其與之前已存檔的密碼進行比較。
攻擊者手中的密碼文件使用一種“彩虹表”來解密哈希密碼。他們還可以購買專為密碼破解而設(shè)計的專用硬件,從亞馬遜或微軟公司等公共云提供商租用空間,建立或租用僵尸網(wǎng)絡(luò)來破解密碼。
那些本身并不是密碼破解專家的攻擊者可以進行外包。Contos說:“這些人可以租用這些服務(wù)幾個小時,幾天甚至幾個星期,而且通常也有技術(shù)支持。人們在這個領(lǐng)域?qū)吹胶芏鄬I(yè)化的應(yīng)用。”
Contos表示,破解哈希列密碼只需要一定的時間,即使是以前被認為是十分安全的密碼,最終也會被破解。他說:“根據(jù)我對人們?nèi)绾蝿?chuàng)建密碼的經(jīng)驗,通常在不到24小時內(nèi),黑客就會破解80%到90%的密碼。如果有足夠的時間和資源,黑客就能夠破解所有的密碼。而不同的只是需要數(shù)小時、數(shù)天或數(shù)周的時間罷了。”
對于人類創(chuàng)建的任何密碼而言,實際上不如由計算機隨機生成的密碼。他說,如果用戶需要一些他們保證安全的東西,那么采用一個更長的密碼是很好的做法,但它不能代替強大的多因子身份驗證(MFA)。
被盜的哈希文件特別容易受到攻擊,因為所有的工作都是在攻擊者的計算機上完成的。因此沒有必要向網(wǎng)站或應(yīng)用程序發(fā)送試用密碼,看它是否有效。
Coalfire實驗室的安全研究員Justin Angel說:“我們更喜歡采用Hashcat,配備專用的破解機器,并輔以多個圖形處理單元,通過密碼哈希算法來破解密碼列表。使用這種方法在一夜之間破解數(shù)以千計的密碼,這種情況并不罕見。”
僵尸網(wǎng)絡(luò)實現(xiàn)大規(guī)模市場的攻擊
對大型公共場所使用的僵尸網(wǎng)絡(luò)攻擊,攻擊者嘗試采用登錄名和密碼的不同組合進行登錄。他們使用從其他站點竊取的登錄憑據(jù)和人們通常使用的密碼進入。
利伯曼軟件公司總裁Philip Lieberman表示,這些密碼可以免費獲得或以低成本獲得,其中包括大約40%的互聯(lián)網(wǎng)用戶的登錄信息。他說:“創(chuàng)建了大量數(shù)據(jù)庫的雅虎公司這樣的行業(yè)巨頭都沒有防止數(shù)據(jù)泄露,黑客可以利用這些數(shù)據(jù)謀利。”
通常,這些密碼長期保持有效。Preempt Security公司首席技術(shù)官Roman Blachman表示:“即使在違約事件發(fā)生之后,許多用戶也不會改變他們已經(jīng)泄露的密碼。”
“例如,黑客想進入銀行賬戶。多次登錄同一賬戶將觸發(fā)警報、鎖定或其他安全措施。所以,他們通常從一個已知的電子郵件地址的名單開始,然后獲取人們使用的最常見的密碼列表。”Ntrepid公司首席科學(xué)家Lance Cottrell說,“他們嘗試采用最常見的密碼登錄到每一個電子郵件地址,而每個賬戶都會經(jīng)歷一次失敗。”
“黑客在等待幾天之后,然后嘗試使用另一個最常見的密碼的每個電子郵件地址。”他說,“黑客可以使用僵尸網(wǎng)絡(luò)中的上百萬臺受感染的電腦進行嘗試,所以目標網(wǎng)站看不到來自單一來源的所有嘗試。”
行業(yè)廠商正在開始解決這個問題。使用LinkedIn,F(xiàn)acebook或Google等第三方認證服務(wù)有助于減少用戶必須記住的密碼數(shù)量。而進行雙重身份驗證(2FA)對于主要云供應(yīng)商以及金融服務(wù)站點和主要零售商而言正變得越來越常見。
SecureWorks公司安全研究員James Bettke表示,標準制定機構(gòu)也在加緊實施安全標準。今年六月,美國國家標準與技術(shù)研究院(NIST)發(fā)布了一套更新的數(shù)字身份指南,專門處理這個問題。他表示:“密碼復(fù)雜性要求和定期重置實際上會導(dǎo)致密碼變?nèi)酰@樣將導(dǎo)致用戶重用密碼,并回收可預(yù)測的模式。
數(shù)據(jù)安全商VASCO公司的全球法規(guī)和標準總監(jiān)Michael Magrath說,線上快速身份驗證(FIDO)聯(lián)盟也正致力于推廣強有力的認證標準。他說:“靜態(tài)密碼是不安全的。”
除了這些標準之外,還有一些新技術(shù)(如行為特征識別技術(shù)和面部識別技術(shù))可以幫助提高消費者網(wǎng)站和移動應(yīng)用程序的安全性。
你的密碼被盜了嗎?
針對個人用戶,網(wǎng)絡(luò)攻擊者檢查用戶的憑據(jù)是否已經(jīng)從其他網(wǎng)站盜取,因為有可能使用相同的密碼或類似的密碼。OpenText公司的高級副總裁兼安全分析總經(jīng)理Gary Weiss說:“幾年前,LinkedIn的數(shù)據(jù)泄露事件就是一個很好的例子。黑客竊取了Facebook 創(chuàng)始人馬克·扎克伯格的LinkedIn密碼,并且能夠訪問其他平臺,因為他顯然在其他社交媒體重新使用了這個密碼。”
據(jù)一家密碼管理工具提供商Dashlane公司的研究,每個人平均有150個需要密碼的賬戶,這意味著人們要記住太多的密碼,因此大多數(shù)人只使用一個或兩個密碼,有的只是進行一些簡單的變化。但這是一個嚴重的問題。
Dashlane公司首席執(zhí)行官Emmanuel Schalit表示:“人們有一個常見的誤解,認為如果有一個非常復(fù)雜的密碼,就可以在任何地方使用,并會保持安全,這種想法是完全錯誤的。在這一點上,如果用戶的一個非常復(fù)雜的密碼已經(jīng)被盜用,那意味著所有信息可能會全部泄露。”
如果某人可能在其銀行或投資賬戶設(shè)置一個安全性非常好的密碼,但是如果其gmail郵箱沒有安全的密碼,攻擊者可以進入郵箱,而通過電子郵件進行密碼恢復(fù)。
一旦任何一個網(wǎng)站被黑客入侵,其密碼被竊取,就可以利用它來訪問其他賬戶。如果黑客能夠進入企業(yè)用戶的電子郵件賬戶,他們將在其他地方重置用戶的密碼。“例如,如果某人可能在其銀行或投資賬戶設(shè)置一個安全性非常好的密碼,但是如果其gmail郵箱沒有安全的密碼,攻擊者可以進入郵箱,而通過電子郵件進行密碼恢復(fù)。”Schalit說,“有一些人遭遇了密碼重置的攻擊。”
如果黑客發(fā)現(xiàn)一個沒有限制登錄嘗試的網(wǎng)站或內(nèi)部企業(yè)應(yīng)用程序,也會嘗試使用通用密碼列表、字典查找表和密碼破解工具(如John the Ripper,Hashcat,或Mimikatz)。
而對于商業(yè)服務(wù),網(wǎng)絡(luò)犯罪分子可以使用更復(fù)雜的算法來破解密碼。 xMatters公司首席技術(shù)官Abbas Haider Ali表示,密碼文件的持續(xù)泄漏將為這些商業(yè)服務(wù)提供極大的幫助。
人們想到的密碼,如采用符號代替字母,使用巧妙的縮寫或鍵盤模式。或科幻小說中不尋常的名字,但這些方法別人也會想到。他說:“不管設(shè)置的人有多聰明,人為設(shè)置的密碼對于高明的黑客來說都是毫無意義的。”
Ntrepid公司的Cottrell說,密碼破解的應(yīng)用程序和工具如今已經(jīng)變得非常復(fù)雜。他說:“但是人類在選擇密碼方面并沒有得到太多的改善。”
對于一個高價值的攻擊目標,攻擊者也將研究可以幫助他們回答安全恢復(fù)問題的信息。用戶賬戶通常只是電子郵件地址,他補充說,企業(yè)電子郵件地址很容易被猜測,因為它們是標準化的格式。
如何檢查密碼的強度
在告知用戶選擇的密碼是否安全方面,大多數(shù)網(wǎng)站做得很差。他們的密碼通常變得過時,而通常采用的是八個字符的長度,大小寫字母,符號和數(shù)字的組合。
第三方網(wǎng)站將評估用戶密碼的強度,但用戶對使用的網(wǎng)站應(yīng)該小心謹慎。Cottrell說:“糟糕的事情是上一個隨機的網(wǎng)站,輸入密碼進行測試。”
但是,如果人們對密碼破解需要多長時間感到好奇,可以嘗試登錄Dashlane公司的網(wǎng)站HowSecureIsMyPassword.net。另一個測量密碼強度的站點是軟件工程師Aaron Toponce的Entropy Testing Meter,用于檢查字典詞匯,詞匯和常見模式。他建議選擇至少70位熵的密碼。他再次建議不要在網(wǎng)站上輸入真實的密碼。
對于大多數(shù)用戶來說,他們登錄的網(wǎng)站和應(yīng)用程序會產(chǎn)生一些想法。用戶期望為每個站點提供獨特的密碼,每三個月更換一次,并且保證安全時間足夠長,并且還記得這些密碼,這可能實現(xiàn)嗎?
Cottrell說:“人們選擇密碼的一個經(jīng)驗法則是,如果能記住這個密碼,那么就不是一個好的密碼。當然,如果能記住其中一些密碼的話,那么這些就不是安全的密碼。”
他說,使用隨機生成的長度最長的密碼,并使用安全的密碼管理系統(tǒng)進行存儲。他說:“我的密碼保險箱里有超過1000個密碼,幾乎都是20多個字符的長度。”
對于數(shù)據(jù)庫等關(guān)鍵密碼,建設(shè)使用長密碼。Cottrell說,“這個密碼不應(yīng)該是一句話,也不應(yīng)該是任何一本書的內(nèi)容,對用戶來說是值得紀念意義的就可以。我的建議是,使用具有30個字符的短語,這對暴力破解密碼的工具來說,實際上是不可能破解的。”
Dashlane公司安全負責人Cyril Leclerc表示,對于網(wǎng)站或應(yīng)用程序的個人密碼,20個字符是合理的長度,但前提是這些字符是隨機的。他說:“破解者可以破解20個字符的人為設(shè)置的密碼,但不會破解隨機生成的密碼,即使有人擁有能力無限的未來計算機,黑客也有可能只破解一個密碼,而且在這項任務(wù)上花費了大量的時間,這樣做將會得不償失。”
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責任的權(quán)利。
京公網(wǎng)安備 11010502049343號