黑客是怎樣破解密碼的，為什么您阻止不了他們

Maria+Korolov著+Charles譯

專家們認為，企業早就不應該依賴傳統的密碼了。他們應該轉而采用更安全的訪問方法，例如，多重身份認證（MFA）、生物識別和單點登錄（SSO）系統等。據最新的《Verizon數據泄露調查報告》，81%黑客導致的泄露事件都與被盜密碼或者弱密碼有關。

首先，讓我們來討論一下密碼破解技術。當攻擊目標是企業、個人或者公眾部門的時候，情況雖各有不同，但最終結果通常是一樣的——黑客獲勝。

從散列密碼文件中破解密碼

如果一家公司的所有密碼同時被破解，那通常是因為密碼文件被盜了。有的公司以明文列出密碼，而安全意識強的公司則通常以散列的形式保存其密碼文件。Verodin有限公司的首席信息安全官Brian Contos指出，哈希文件用于保護域控制器、LDAP和Active Directory等企業認證平臺，以及很多其他系統的密碼。

這些散列，包括加鹽散列，已經不是那么非常安全了。采用散列方式對密碼加擾，使密碼不能再被解讀。要檢查密碼是否有效，登錄系統對用戶輸入的密碼進行加擾，并將其與之前已存檔并經過哈希處理的密碼進行比較。

截獲了散列密碼文件的攻擊者使用所謂“彩虹表”，通過簡單搜索法來破解散列文件。他們還可以購買專門設計開發的密碼破解硬件，租用亞馬遜或者微軟等公有云上的空間，構建或者租用僵尸網絡進行破解。

攻擊者如果自己不是密碼破解專家，還可以外包。Contos說：“我可以租用這些服務幾個小時，幾天，甚至幾周的時間——通常都能得到支持。這個領域有很多專業化的東西。”

因此，即使以前被認為是安全的密碼，破解散列密碼的時間也不再是數百萬年了。他說：“根據我對人們創建密碼的經驗，通常在不到24小時內就能破解80%到90%的密碼。只要有足夠的時間和資源，可以破解任何密碼。不同之處只是在于時間——數小時、數天或者數星期。

這一點尤其適用于任何由人類創建的密碼，而不是計算機隨機生成的密碼。他說，當用戶想牢記密碼時，更長的密碼是很好的做法，例如密碼口令，但它不能替代強MFA。

被盜的散列文件特別容易導致攻擊，因為所有的工作都是在攻擊者的計算機上完成的。他們不必向網站或者應用程序發送試用密碼，看看是否有效。

Coalfire實驗室的安全研究員Justin Angel表示：“我們在Coalfire實驗室都喜歡使用Hashcat，并配備了專用的破解機器，它有多個圖形處理單元，用于通過密碼散列算法來破解密碼列表。我們用這種方法經常在一夜之間就能破解數千個密碼。”

僵尸網絡造成大規模市場攻擊

攻擊大型公共網站時，攻擊者使用僵尸網絡來嘗試各種登錄用戶和密碼的組合。他們使用從其他網站竊取的登錄憑證列表以及人們通常使用的密碼表。

據Lieberman軟件公司總裁Philip Lieberman，這些列表是免費提供的，或者成本很低，其中包括大約40%所有互聯網用戶的登錄信息。他說：“過去像雅虎這樣被攻破的公司都曾創建過犯罪分子可以利用的大量的數據庫。”

通常，這些密碼在很長一段時間內都有效。Preempt安全公司的首席技術官Roman Blachman表示：“即使發生了泄露事件，很多用戶仍然沒有修改他們已經泄露的密碼。”

比如說，一名黑客想進入銀行賬戶。多次登錄同一帳戶將觸發警報、鎖定或者其他安全措施。Ntrepid公司首席科學家Lance Cottrell說，那么，他們開始時，使用一個龐大的已知電子郵件地址列表，然后找出一些人們最常用的密碼。他說：“他們嘗試用最常用的密碼登錄每一個電子郵件地址。因此每個帳戶只失敗一次。”

他們會等幾天，然后用下一個最常用的密碼來再次嘗試每一個電子郵件地址。他補充說：“他們可以使用其僵尸網絡中被挾持的數百萬臺計算機，所以目標網站并沒有看到所有的嘗試是來自一個攻擊源。”

這個行業開始著手解決這個問題。使用像領英、臉書或者谷歌等這樣的第三方認證服務有助于減少用戶要記住的密碼數量。雙重身份認證（2FA）成為主要云供應商和金融服務網站以及大型零售商們共同使用的認證手段。

SecureWorks安全研究員James Bettke表示，標準制定機構也在加緊采取措施。6月份，NIST為專門解決這個問題發布了一套更新后的《數字身份指南》。他說：“它承認，密碼復雜性要求和周期性重置實際上會導致更弱的密碼。密碼疲勞導致用戶重用以前的密碼，還是一直使用很容易被猜到的密碼。”

VASCO數據安全公司的全球法規和標準總監Michael Magrath說，FIDO聯盟也在努力推廣強有力的認證標準。他說：“靜態密碼既不安全也不保密。”

除了標準，還有行為生物識別和面部識別等新的“無接觸”技術，這些有助于提高消費網站和手機應用程序的安全性。

您的密碼已經被盜了嗎？

為了攻擊某個人，攻擊者檢查是否已經從其他網站竊取了該用戶的憑證，這樣就有可能使用相同的密碼或者類似的密碼。OpenText公司的安全、分析和發現高級副總裁兼總經理Gary Weiss說：“幾年前領英的泄露事件就是一個很好的例子。黑客竊取了馬克·扎克伯格的領英密碼，而他很顯然在其他社交媒體上使用了相同的密碼，導致黑客可以訪問其他的平臺。”

據一家提供密碼管理工具的公司Dashlane的研究，一般人會有150個需要密碼的賬戶。要記住的密碼太多了，所以大多數人只使用一個或者兩個密碼，有一些簡單的變化。這是個問題。

Dashlane有限公司首席執行官Emmanuel Schalit說：“有一個常見的錯誤的概念，認為如果您的密碼非常復雜，就可以用在任何地方，而且是安全的。這絕對是錯誤的。當黑客被發現后，為時已晚，此時，您非常復雜的密碼已經被攻破，您所有的信息也是如此。”（您可以訪問“我是不是已經被泄露了”網站，看看自己受密碼保護的帳戶是不是已經被泄露了。）endprint

一旦任何一個網站被黑客入侵，該密碼被盜，就可以利用它來訪問其他帳戶。如果黑客可以進入網站用戶的電子郵件帳戶，他們將使用它重置用戶在其他地方的密碼。Cottrell說：“您銀行或者投資賬戶有很好的密碼，但如果您的gmail賬戶并沒有一個很好的密碼，黑客們能夠破解這個密碼，而這是您的密碼恢復電子郵件，那您就危險了。有很多知名人士的賬戶被密碼重置攻擊破解了。”

如果他們發現了不限制登錄嘗試的網站或者企業內部應用程序，也會暴力破解密碼，手段包括使用常用密碼表、字典查找表，以及John the Ripper、Hashcat和Mimikatz等密碼破解工具。

而地下犯罪還提供商業服務，使用更復雜的算法來破解密碼。xMatters有限公司首席技術官Abbas Haider Ali指出，這些服務很大程度上得益于不斷泄露的密碼文件。

您能想到的任何辦法，包括用符號替代字母、使用巧妙的縮寫、鍵盤圖案或者科幻小說中奇怪的名字，等等——別人早就想到了。他說：“不管您有多聰明，人類生成的密碼都沒用。”

Ntrepid的Cottrell說，密碼破解應用程序和工具這些年來已經變得非常復雜。他說：“而人類在選擇密碼方面卻沒有什么進步。”

對于高價值目標，攻擊者也會研究它們，尋找能夠幫助他們回答安全恢復問題的信息。他補充說，用戶帳戶通常就是電子郵件地址，特別是公司的電子郵件地址，這很容易被猜到，因為這些地址是標準化的。

怎樣檢查密碼的強度

很多網站在告訴用戶他們選擇的密碼是否足夠強大方面做得很差。他們一般已經過時幾年了，至少應要求密碼長度不少于8個字符，有大小寫字母、符號和數字的組合。

第三方網站可以評估您密碼的強度，但是用戶應該謹慎使用這些網站。Cottrell說：“世界上最糟糕的事情就是隨機找一個網站，然后輸入密碼，讓它進行測試。”

而如果您好奇地想知道，需要多長時間才能破解一個密碼，那么您可以試一試一個網站，Dashlane的HowSecureIsMyPassword.net。另一個評估密碼強度的網站是軟件工程師Aaron Toponce的熵測試儀，該網站可以檢查字典詞匯、黑客文和常見的模式。他建議選擇一個至少有70位熵的密碼。同樣，他建議不要在網站上輸入您的實際密碼。

對大多數用戶，以及他們登錄的網站和應用程序，這就帶來了問題。用戶怎樣才能在每一個網站上使用唯一的密碼，每三個月更改一次，而且足夠長以確保安全，還要一直記住這些密碼？

Cottrell說：“經驗是，如果您能記住它，那這就不是一個好密碼。當然，如果您能記住一兩個以上的密碼，那就不是一個好密碼了——因為這總是一些單詞或者網站的名字。”

他說，相反，使用隨機生成的、網站允許的長度最長的密碼，并使用安全密碼管理系統進行存儲。他說：“我的密碼庫中有1，000多個密碼，它們幾乎都是20多個字符。”

對于密碼庫的主密碼，他使用了一個長密碼口令。他說：“這不應該是一個短語，也不應該來自任何一本書，但對您來說仍然能記住。為了能記住密碼，我的建議是，密碼應該非常‘猥褻——您甚至都羞于啟齒去告訴任何人。如果您有一個30個字符的密碼口令，那基本上就不可能被暴力破解。各種組合就爆炸了。”

按照Dashlane安全負責人Cyril Leclerc的說法，對于網站或者應用程序的個人密碼，20個字符的長度是合理的，但前提是它們是隨機產生的。他說：“破解者能夠破解一個由人類生成的20個字符的密碼，但破解不了隨機生成的密碼。即使未來出現了極其強大的計算機，黑客也只能破解一個密碼，而且還得在這項任務上花費大量的時間。”endprint