专家们认为,企业早就不应该依赖传统的密码了。他们应该转而采用更安全的访问方法,例如,多重身份认证(MFA)、生物识别和单点登录(SSO)系统等。据最新的《Verizon数据泄露调查报告》,81%黑客导致的泄露事件都与被盗密码或者弱密码有关。
首先,让我们来讨论一下密码破解技术。当攻击目标是企业、个人或者公众部门的时候,情况虽各有不同,但最终结果通常是一样的――黑客获胜。
从散列密码文件中破解密码
如果一家公司的所有密码同时被破解,那通常是因为密码文件被盗了。有的公司以明文列出密码,而安全意识强的公司则通常以散列的形式保存其密码文件。Verodin有限公司的首席信息安全官Brian Contos指出,哈希文件用于保护域控制器、LDAP和Active Directory等企业认证平台,以及很多其他系统的密码。
这些散列,包括加盐散列,已经不是那么非常安全了。采用散列方式对密码加扰,使密码不能再被解读。要检查密码是否有效,登录系统对用户输入的密码进行加扰,并将其与之前已存档并经过哈希处理的密码进行比较。
截获了散列密码文件的攻击者使用所谓“彩虹表”,通过简单搜索法来破解散列文件。他们还可以购买专门设计开发的密码破解硬件,租用亚马逊或者微软等公有云上的空间,构建或者租用僵尸网络进行破解。
攻击者如果自己不是密码破解专家,还可以外包。Contos说:“我可以租用这些服务几个小时,几天,甚至几周的时间――通常都能得到支持。这个领域有很多专业化的东西。”
因此,即使以前被认为是安全的密码,破解散列密码的时间也不再是数百万年了。他说:“根据我对人们创建密码的经验,通常在不到24小时内就能破解80%到90%的密码。只要有足够的时间和资源,可以破解任何密码。不同之处只是在于时间――数小时、数天或者数星期。
这一点尤其适用于任何由人类创建的密码,而不是计算机随机生成的密码。他说,当用户想牢记密码时,更长的密码是很好的做法,例如密码口令,但它不能替代强MFA。
被盗的散列文件特别容易导致攻击,因为所有的工作都是在攻击者的计算机上完成的。他们不必向网站或者应用程序发送试用密码,看看是否有效。
Coalfire实验室的安全研究员Justin Angel表示:“我们在Coalfire实验室都喜欢使用Hashcat,并配备了专用的破解机器,它有多个图形处理单元,用于通过密码散列算法来破解密码列表。我们用这种方法经常在一夜之间就能破解数千个密码。”
僵尸网络造成大规模市场攻击
攻舸笮凸共网站时,攻击者使用僵尸网络来尝试各种登录用户和密码的组合。他们使用从其他网站窃取的登录凭证列表以及人们通常使用的密码表。
据Lieberman软件公司总裁Philip Lieberman,这些列表是免费提供的,或者成本很低,其中包括大约40%所有互联网用户的登录信息。他说:“过去像雅虎这样被攻破的公司都曾创建过犯罪分子可以利用的大量的数据库。”
通常,这些密码在很长一段时间内都有效。Preempt安全公司的首席技术官Roman Blachman表示:“即使发生了泄露事件,很多用户仍然没有修改他们已经泄露的密码。”
比如说,一名黑客想进入银行账户。多次登录同一帐户将触发警报、锁定或者其他安全措施。Ntrepid公司首席科学家Lance Cottrell说,那么,他们开始时,使用一个庞大的已知电子邮件地址列表,然后找出一些人们最常用的密码。他说:“他们尝试用最常用的密码登录每一个电子邮件地址。因此每个帐户只失败一次。”
他们会等几天,然后用下一个最常用的密码来再次尝试每一个电子邮件地址。他补充说:“他们可以使用其僵尸网络中被挟持的数百万台计算机,所以目标网站并没有看到所有的尝试是来自一个攻击源。”
这个行业开始着手解决这个问题。使用像领英、脸书或者谷歌等这样的第三方认证服务有助于减少用户要记住的密码数量。双重身份认证(2FA)成为主要云供应商和金融服务网站以及大型零售商们共同使用的认证手段。
SecureWorks安全研究员James Bettke表示,标准制定机构也在加紧采取措施。6月份,NIST为专门解决这个问题发布了一套更新后的《数字身份指南》。他说:“它承认,密码复杂性要求和周期性重置实际上会导致更弱的密码。密码疲劳导致用户重用以前的密码,还是一直使用很容易被猜到的密码。”
VASCO数据安全公司的全球法规和标准总监Michael Magrath说,FIDO联盟也在努力推广强有力的认证标准。他说:“静态密码既不安全也不保密。”
除了标准,还有行为生物识别和面部识别等新的“无接触”技术,这些有助于提高消费网站和手机应用程序的安全性。
您的密码已经被盗了吗?
为了攻击某个人,攻击者检查是否已经从其他网站窃取了该用户的凭证,这样就有可能使用相同的密码或者类似的密码。OpenText公司的安全、分析和发现高级副总裁兼总经理Gary Weiss说:“几年前领英的泄露事件就是一个很好的例子。黑客窃取了马克・扎克伯格的领英密码,而他很显然在其他社交媒体上使用了相同的密码,导致黑客可以访问其他的平台。”
据一家提供密码管理工具的公司Dashlane的研究,一般人会有150个需要密码的账户。要记住的密码太多了,所以大多数人只使用一个或者两个密码,有一些简单的变化。这是个问题。
Dashlane有限公司首席执行官Emmanuel Schalit说:“有一个常见的错误的概念,认为如果您的密码非常复杂,就可以用在任何地方,而且是安全的。这绝对是错误的。当黑客被发现后,为时已晚,此时,您非常复杂的密码已经被攻破,您所有的信息也是如此。”(您可以访问“我是不是已经被泄露了”网站,看看自己受密码保护的帐户是不是已经被泄露了。) 一旦任何一个网站被黑客入侵,该密码被盗,就可以利用它来访问其他帐户。如果黑客可以进入网站用户的电子邮件帐户,他们将使用它重置用户在其他地方的密码。Cottrell说:“您银行或者投资账户有很好的密码,但如果您的gmail账户并没有一个很好的密码,黑客们能够破解这个密码,而这是您的密码恢复电子邮件,那您就危险了。有很多知名人士的账户被密码重置攻击破解了。”
如果他们发现了不限制登录尝试的网站或者企业内部应用程序,也会暴力破解密码,手段包括使用常用密码表、字典查找表,以及John the Ripper、Hashcat和Mimikatz等密码破解工具。
而地下犯罪还提供商业服务,使用更复杂的算法来破解密码。xMatters有限公司首席技术官Abbas Haider Ali指出,这些服务很大程度上得益于不断泄露的密码文件。
您能想到的任何办法,包括用符号替代字母、使用巧妙的缩写、键盘图案或者科幻小说中奇怪的名字,等等――别人早就想到了。他说:“不管您有多聪明,人类生成的密码都没用。”
Ntrepid的Cottrell说,密码破解应用程序和工具这些年来已经变得非常复杂。他说:“而人类在选择密码方面却没有什么进步。”
对于高价值目标,攻击者也会研究它们,寻找能够帮助他们回答安全恢复问题的信息。他补充说,用户帐户通常就是电子邮件地址,特别是公司的电子邮件地址,这很容易被猜到,因为这些地址是标准化的。
怎样检查密码的强度
很多网站在告诉用户他们选择的密码是否足够强大方面做得很差。他们一般已经过时几年了,至少应要求密码长度不少于8个字符,有大小写字母、符号和数字的组合。
第三方网站可以评估您密码的强度,但是用户应该谨慎使用这些网站。Cottrell说:“世界上最糟糕的事情就是随机找一个网站,然后输入密码,让它进行测试。”
而如果您好奇地想知道,需要多长时间才能破解一个密码,那么您可以试一试一个网站,Dashlane的HowSecureIsMyPassword.net。另一个评估密码强度的网站是软件工程师Aaron Toponce的熵测试仪,该网站可以检查字典词汇、黑客文和常见的模式。他建议选择一个至少有70位熵的密码。同样,他建议不要在网站上输入您的实际密码。
对大多数用户,以及他们登录的网站和应用程序,这就带来了问题。用户怎样才能在每一个网站上使用唯一的密码,每三个月更改一次,而且足够长以确保安全,还要一直记住这些密码?
Cottrell说:“经验是,如果您能记住它,那这就不是一个好密码。当然,如果您能记住一两个以上的密码,那就不是一个好密码了――因为这总是一些单词或者网站的名字。”
他说,相反,使用随机生成的、网站允许的长度最长的密码,并使用安全密码管理系统进行存储。他说:“我的密码库中有1,000多个密码,它们几乎都是20多个字符。”
τ诿苈肟獾闹髅苈耄他使用了一个长密码口令。他说:“这不应该是一个短语,也不应该来自任何一本书,但对您来说仍然能记住。为了能记住密码,我的建议是,密码应该非常‘猥亵’――您甚至都羞于启齿去告诉任何人。如果您有一个30个字符的密码口令,那基本上就不可能被暴力破解。各种组合就爆炸了。”
按照Dashlane安全负责人Cyril Leclerc的说法,对于网站或者应用程序的个人密码,20个字符的长度是合理的,但前提是它们是随机产生的。他说:“破解者能够破解一个由人类生成的20个字符的密码,但破解不了随机生成的密码。即使未来出现了极其强大的计算机,黑客也只能破解一个密码,而且还得在这项任务上花费大量的时间。”