一臺(tái)計(jì)算機(jī)每秒可以猜出超過(guò)1000億個(gè)密碼,您的密碼還安全嗎
2020年09月25日
密碼是當(dāng)代計(jì)算機(jī)系統(tǒng)基石�,已被使用了數(shù)千年。當(dāng)向他人共享信息時(shí)�,密碼作為身份識(shí)別的方法,使信息在個(gè)人之間是密碼的���。
什么樣的密碼是一個(gè)好的密碼?
一個(gè)好的密碼可能只是一個(gè)6到8個(gè)字符的單詞或短語(yǔ)����。但是我們現(xiàn)在有了最小長(zhǎng)度準(zhǔn)則�。在談?wù)撁艽a時(shí),熵是可預(yù)測(cè)性的度量�。此操作背后的數(shù)學(xué)并不復(fù)雜,但讓我們以更簡(jiǎn)單的方法進(jìn)行檢查:可能的密碼數(shù)量���,有時(shí)也稱(chēng)為“密碼空間”���。
如果一個(gè)字符的密碼僅包含一個(gè)小寫(xiě)字母�,則只有26種可能的密碼(“ a”至“ z”)。通過(guò)包含大寫(xiě)字母,我們將密碼空間增加到52個(gè)潛在密碼���。
隨著長(zhǎng)度的增加和其他字符類(lèi)型的增加��,密碼空間將繼續(xù)擴(kuò)大�����。
查看上面的數(shù)字�����,很容易理解為什么我們鼓勵(lì)使用長(zhǎng)密碼�����,并使用大小寫(xiě)字母�,數(shù)字和符號(hào)���。密碼越復(fù)雜���,就需要進(jìn)行更多的猜測(cè)。
但是�,取決于密碼復(fù)雜性的問(wèn)題在于�����,計(jì)算機(jī)在重復(fù)執(zhí)行任務(wù)(包括猜測(cè)密碼)方面非常高效����。
去年�����,一臺(tái)試圖產(chǎn)生每個(gè)可能的密碼的計(jì)算機(jī)創(chuàng)下了新的記錄��,它的速度超過(guò)了每秒100,000億次猜測(cè)�。
通過(guò)利用這種計(jì)算能力,網(wǎng)絡(luò)犯罪分子可以在稱(chēng)為蠻力攻擊的過(guò)程中���,通過(guò)使用盡可能多的密碼組合對(duì)它們進(jìn)行暴力破解來(lái)侵入系統(tǒng)��。
借助基于云的技術(shù)�����,只需8分鐘即可猜到8個(gè)字符的密碼���,而費(fèi)用卻只有25美元�����。
此外,由于密碼幾乎總是用于提供對(duì)敏感數(shù)據(jù)或重要系統(tǒng)的訪問(wèn)權(quán)限�,因此這會(huì)激發(fā)網(wǎng)絡(luò)犯罪分子主動(dòng)尋找它們。它還推動(dòng)了利潤(rùn)豐厚的在線市場(chǎng)銷(xiāo)售密碼�,其中一些密碼包含電子郵件地址和/或用戶名。
密碼是如何存儲(chǔ)在網(wǎng)站上的?
網(wǎng)站密碼通常使用稱(chēng)為哈希的數(shù)學(xué)算法以受保護(hù)的方式存儲(chǔ)�。哈希密碼無(wú)法識(shí)別,無(wú)法將其轉(zhuǎn)換回密碼�����。
嘗試登錄時(shí)��,將使用相同的過(guò)程對(duì)輸入的密碼進(jìn)行哈希處理�,并將其與站點(diǎn)上存儲(chǔ)的版本進(jìn)行比較。每次登錄時(shí)都會(huì)重復(fù)此過(guò)程���。
例如����,使用SHA1哈希算法計(jì)算時(shí)���,密碼“ Pa $$ w0rd”被賦予值“ 02726d40f378e716981c4321d60ba3a325ed6a4c”�����。自己嘗試一下����。
當(dāng)面對(duì)充滿散列密碼的文件時(shí),可以使用蠻力攻擊�,嘗試每種字符組合以獲取一定范圍的密碼長(zhǎng)度。這已經(jīng)成為一種常見(jiàn)的做法��,以至于有些網(wǎng)站列出了常見(jiàn)密碼以及其(計(jì)算出的)哈希值���。您可以簡(jiǎn)單地搜索哈希以顯示相應(yīng)的密碼�����。
現(xiàn)在�����,盜竊和出售密碼列表非常普遍���,可以使用專(zhuān)門(mén)的網(wǎng)站 haveibeenpwned.com來(lái)幫助用戶檢查其賬戶是否存在�。如今已經(jīng)包括超過(guò)100億個(gè)帳戶詳細(xì)信息����。
如果此站點(diǎn)上列出了您的電子郵件地址,則絕對(duì)應(yīng)該更改檢測(cè)到的密碼��,以及在使用相同憑據(jù)的任何其他站點(diǎn)上���。
使用更復(fù)雜的密碼?
您會(huì)認(rèn)為,每天發(fā)生如此多的密碼泄露事件�����,我們會(huì)改善密碼選擇的做法���。不幸的是����,去年的年度SplashData密碼調(diào)查顯示五年來(lái)幾乎沒(méi)有變化�。
隨著計(jì)算能力的提高,該解決方案似乎會(huì)增加復(fù)雜性��。但是����,作為人類(lèi)���,我們不熟練(也不愿意)記住高度復(fù)雜的密碼。
我們還通過(guò)了僅使用兩個(gè)或三個(gè)需要密碼的系統(tǒng)的觀點(diǎn)?�,F(xiàn)在��,訪問(wèn)多個(gè)站點(diǎn)很普遍����,每個(gè)站點(diǎn)都需要密碼(通常長(zhǎng)度和復(fù)雜性各不相同)。最近的一項(xiàng)調(diào)查表明��,平均每人有70-80個(gè)密碼�����。
好消息是有解決這些問(wèn)題的工具?���,F(xiàn)在,大多數(shù)計(jì)算機(jī)都支持在操作系統(tǒng)或Web瀏覽器中存儲(chǔ)密碼�,通常可以選擇在多個(gè)設(shè)備之間共享存儲(chǔ)的信息。
這不會(huì)阻止從易受攻擊的網(wǎng)站竊取密碼��。但是����,如果它被盜了,您將不必?fù)?dān)心在所有其他站點(diǎn)上更改相同的密碼��。
這些解決方案中當(dāng)然也存在漏洞�,但這也許是另一回事了。
江蘇國(guó)駿-打造安全可信的網(wǎng)絡(luò)世界
為IT提升價(jià)值
http://hbshty.cn/
免費(fèi)咨詢熱線:400-6776-989
