用戶指南:熟知破解密碼的四種常用手法

      我們當(dāng)然會(huì)想方設(shè)法來保護(hù)密碼的安全，比如增加密碼長(zhǎng)度、使用復(fù)雜的語法以及特殊字符等等，這確實(shí)有助于增強(qiáng)密碼的安全性，這些方法往往要求你每90天更改一次密碼，但奇怪的是看不到什么明顯的好處。壞家伙們通常會(huì)用四種基本的方法得到你的密碼：

      (A)直接詢問，所謂的“釣魚”和“社會(huì)工程學(xué)”的攻擊仍然在進(jìn)行，并且一直有效

      (B)試著用字庫來匹配提示框，希望碰到好運(yùn)氣

      (C)獲取加密之后的密碼或哈希碼，反過來進(jìn)行解密

      (D)使用keylogger等惡意軟件在你在電腦中輸入時(shí)獲取密碼

      這四種情況不會(huì)因?yàn)槟忝扛?0天更改了一次密碼就從你身邊走開。如果壞人們無法在幾天內(nèi)攻破哈希碼(C)，他很可能去尋找更容易的攻擊目標(biāo)。 攻擊(B)也是速戰(zhàn)速?zèng)Q型，壞人們通常只使用前幾百個(gè)單詞，如果無效的話馬上就會(huì)轉(zhuǎn)向其他更容易的獵物。如果(B)或(C)攻擊成功，或者攻擊者通過更簡(jiǎn) 單的(A)或(D)獲知密碼，那么他們平均只需要45天就足以把你的銀行帳戶弄得一干二凈，或者把你的電子郵件地址變成發(fā)送垃圾郵件的據(jù)點(diǎn)。

      在過去25年左右的時(shí)間里，密碼過期的概念沒有什么變化。信息安全技術(shù)人員、審計(jì)人員、PCI、ISO27002和COBIT等等的要求都保 持不變，但威脅已經(jīng)改變了不少。通常，密碼脆弱的用戶只會(huì)用另一個(gè)脆弱的密碼來替代。而強(qiáng)迫一個(gè)密碼強(qiáng)度已經(jīng)很高的用戶更改密碼最終反而會(huì)惹惱他而使用簡(jiǎn) 單的密碼。

      那么90天的密碼更改周期到底有什么意義呢?有一個(gè)實(shí)際的好處。那就是如果有人有你的密碼而他們想做的一切只是偷偷的閱讀你的電子郵件，那么 你改變密碼可以阻止他們永遠(yuǎn)這樣做下去。定期更改密碼并不能抵御那些想要竊取你的機(jī)密的惡意攻擊者，但它確實(shí)能讓你擺脫那些偷偷摸摸的潛入者或窺探者。沒 錯(cuò)，這是好的。但是，這點(diǎn)好處是否值得去強(qiáng)迫用戶去不嫌麻煩的每90天更改一次密碼呢，我有些懷疑。

      信息安全風(fēng)險(xiǎn)管理的主要工作應(yīng)該是識(shí)別威脅和漏洞，然后選擇對(duì)策。但是，如果選擇的對(duì)策實(shí)際上并不太可能降低所識(shí)別的威脅的話，那么它在安全工作中也是于事無補(bǔ)的。

      當(dāng)然，各方提供的“最佳實(shí)踐標(biāo)準(zhǔn)”和審計(jì)部門的專員們會(huì)迫使我們用它。

      系統(tǒng)之家提供以下評(píng)論：

      我為一家財(cái)富500強(qiáng)企業(yè)引入了“每90天改變你的密碼”的規(guī)則，我來做個(gè)解釋。許多人在多個(gè)系統(tǒng)上使用相同的密碼。我發(fā)現(xiàn)其中有一臺(tái)系統(tǒng)允許用戶查看名稱目錄中隱藏在文本域中的哈希密碼，這是產(chǎn)品本身的弱點(diǎn)，我們發(fā)現(xiàn)這個(gè)哈希算法很容易破解，于是立即改變了哈希算法并且做出了90天的規(guī)則， 這樣能夠確保密碼哈希的持續(xù)清潔，并且鼓勵(lì)員工在外部網(wǎng)站使用與企業(yè)內(nèi)部不同的密碼。

      緩解攻擊不會(huì)改變它的發(fā)生概率，但能改變攻擊成功的可能性。你所做的假設(shè)中所有的密碼竊賊都會(huì)在試上幾次強(qiáng)力攻擊后放棄，一般來說是這樣，但 并不總是。你暗示我們(審計(jì)部門)看不到不斷變化的威脅是不對(duì)的，每90天的周期仍然太長(zhǎng)，考慮到今天的處理能力。你必須采取長(zhǎng)度、復(fù)雜性、歷史以及各種 各樣的帳戶鎖定策略。

      我一直認(rèn)為密碼更改間隔應(yīng)該與當(dāng)前的處理能力掛鉤。隨著計(jì)算能力提高，破解哈希生成彩虹表所花費(fèi)的時(shí)間越來越短。想一想摩爾定律就明白了。我認(rèn)為應(yīng)該使用破解工具作為基準(zhǔn)，算出一個(gè)現(xiàn)實(shí)的破解哈希密碼所需要的時(shí)間，然后來確定到底需要多長(zhǎng)時(shí)間來改變一次密碼。

      我不明白的是更改密碼的要求變得越來越短。10年前，每年更改一次密碼在許多系統(tǒng)上已經(jīng)足夠了。最近90天是標(biāo)準(zhǔn)�，F(xiàn)在我相信很快會(huì)看到60天、30天。

      用戶有時(shí)會(huì)共享密碼。這是很讓人頭疼的，而周期性更改密碼的要求會(huì)有助于解決這個(gè)問題。我贊同強(qiáng)制更改密碼，即使這有可能導(dǎo)致用戶采取低強(qiáng)度 的密碼，但要教給他們良好的密碼生成方法，還要給他們提供工具。你可以每年自己破解密碼哈希幾次，這會(huì)迫使那些密碼強(qiáng)度弱的用戶轉(zhuǎn)變態(tài)度。許多用戶使用默認(rèn)密碼，如果你有5000個(gè)用戶，其中至少有100人使用相同的密碼。破解密碼總是很容易，但重要的是培訓(xùn)好重要的用戶，或者給他們工具。