這些年來發生的重大使用者隐私洩漏事件,就其根源,有一半的原因要歸咎于使用者本身,其中最常見的就是密碼設定太簡單。為此,很多供應商和機構都強制使用者設定更複雜的密碼。但即便如此,密碼設定方面的漏洞還是攻擊者最喜歡的攻擊入口點,這其中最常見的問題就是密碼重用。有使用者覺得,對于不同的賬戶,我會将用過的密碼進行一些細微的改變,這樣是不是就安全了?經過實際測試,這些隻經過細微更改的密碼,都算是密碼重用。
那問題就來了,既然密碼管理器現在随手可用,那為什麼密碼重用問題還是如此突出呢?其原因在上面已經說了,對于不同的帳戶,使用者總愛用相似的密碼,因為這樣好記,另外就是很過使用者覺得使用密碼管理器太麻煩。但是在當今的網絡世界中,密碼重用的使用率非常驚人。是以,我們建議你使用密碼管理器,這有助于減少密碼重用,提高安全性。在本文中,我們将對一些最常見的密碼管理器進行安全和實用性分析,說不定其中有你最喜歡的一個。
申請阿裡雲服務時,可以使用
2000元阿裡雲代金券,阿裡雲官網領取網址:
https://dashi.aliyun.com/site/yun/youhui重用密碼絕對不要再用
重大黑客和安全漏洞一直在發生,毫無疑問,黑客正在使用先前收集的密碼資料庫來嘗試利用各種網絡資源。密碼重用是造成這些黑客能成功攻擊的主要原因,收集了一個密碼資料庫後,黑客可以迅速嘗試在其他資源上盜用帳戶憑據。通過僵屍網絡實施的這些攻擊可能不會觸發安全警告,即使帳戶已被盜用也是如此。
多家機構的研究表明,幾年前,使用不同服務的使用者帳戶之間的密碼重用率至少為31%。如今,普通使用者使用的網絡帳戶數量已大大增加,這導緻重用密碼的情況嚴重增加。最近的報告表明,大約59%的使用者在許多不同的網絡服務中都存在着重複使用密碼的情況。如果結果是按着使用相似密碼來計算,則該比例可能會更高。
這些數字實際上意味着什麼,你知道嗎?這意味着,如果一個使用者擁有20個網絡帳戶,則僅他隻使用了7個密碼。在這7個密碼中,有3個是獨立的,而剩餘的 “不同”密碼看起來很相似。我們觀察到的最常見的行為模式之一是将給定的網站或資源所需的數字和特殊字元的數量附加到密碼的末尾。是以,“不同”的密碼清單可能包括簡單的變體,如password1、password123、password1 $等。在調查過程中,這些模式很容易被發現和利用。
阿裡雲伺服器1核2G低至82元/年,阿裡雲官活動網址:
https://dashi.aliyun.com/site/yun/aliyun可以用20代金券,即102-20=82。
密碼重用和計算機驗證
盡管密碼重用不利于安全性,使黑客能夠快速攻擊多種服務,但對于計算機驗證而言卻是一大福音。通過擷取密碼清單,專家可以确定一個用來驗證的通用模式,這種模式反過來又使他們能夠建構所謂的基于掩碼的攻擊。基于掩碼的攻擊允許指定使用者的所有或大部分密碼都具有的共同點,進而減少了要嘗試的密碼數量。
例如,使用Elcomsoft Distributed Password Recovery工具可以大大緩解基于掩碼的攻擊。在在此之前,讓我們看看這些密碼有什麼共同點:
password
Password$
password1
Password12
Password5678
Password123$
如上所示,所有這些密碼都是基于一個關鍵字“password”,它可能以大寫“P”開頭,也可能以小寫“P”開頭。關鍵字後面可以跟或不跟最多包含4位數字的密碼,後面可以跟也可以不跟一個特殊字元這是一個非常現實的場景,即使用者嘗試使用盡可能簡單的密碼。但是,如果安全政策強制使用一定數量的大寫字母、數字和特殊字元,則使用者隻需将它們添加到密碼的末尾即可。在EDPR 4.20(雷神分布式破解系統免費版)中,你可以使用一個簡單的掩碼,如下所示:
?0assword?1(0-4)?2(0-1)
character group ?0: Pp
character group ?1: digits
character group ?2: special symbols
1587290231129343
下面這些密碼有什麼共同之處呢?
andy1980
apple1$
mary1968
hopeful1
wardrobe
monitor$
所有這些密碼均基于單個字典單詞,該單詞以小寫字母開頭,該字母可以或不可以跟一個包含最多4位數字的數字,該數字可以或可以不跟一個特殊字元。如果你使用的是較舊版本的Elcomsoft Distributed Password Recovery,則必須建構一種非常複雜的混合攻擊來解決所有這些密碼變體,而EDPR 4.20則可以使它變得非常簡單:
?w[mydic.udic]?0(0-4)?1(0-1)
character group ?0: digits
character group ?1: special symbols
現在,如果使用者擁有一套稍微複雜一些的密碼,該怎麼辦?
Andy1980
Apple1$
這些密碼與前一種情況類似,都是基于一個字典單詞,這個單詞後面可能有或沒有一個包含最多4位數字的數字,後面可能有或沒有一個特殊字元。然而,這次這個單詞可能以大寫字母開頭,也可能不以大寫字母開頭。
密碼管理器介紹
1Password,Dashlane,KeePass和LastPass是四個最受歡迎的密碼管理器。密碼管理器存儲、管理和同步使用者密碼以及其他敏感資料。密碼管理器經過明确設計,旨在減輕密碼重用問題,提供生成、存儲和使用真正唯一且不可重用的密碼的功能。
典型的密碼管理器會将所有密碼儲存在資料庫中,資料庫使用主密碼進行加密保護,并存儲在本地或雲中。密碼管理器同時支援桌上型電腦和移動裝置,并采用強加密技術來保護對密碼資料庫的通路。
值得注意的是,整個密碼資料庫通常受一個主密碼保護,該密碼将解密并打開所有存儲的密碼。
由于大多數使用者隻使用他們的移動裝置來通路帳戶和打開文檔,是以密碼管理器也可以在移動平台上使用。由于觸摸屏沒有實體鍵盤,并且不能使用“學習程序”來輸入複雜的密碼,這會導緻經常選擇在移動裝置上解鎖其密碼庫的使用者選擇更簡單的主密碼。Touch ID或Face ID确實有助于避免輸入主密碼,但仍然需要不時使用主密碼進行身份驗證。
1Password是由AgileBits于2006年開發的,此密碼管理器支援Windows、macOS、iOS和Android平台。該資料庫可以存儲在本地,Dropbox或iCloud中,該資料庫包含在iTunes備份和iCloud備份中。
LastPass是2008年由Marvasol公司(後來被LogMeIn收購)推出的,LastPass還支援Windows、macOS、iOS和Android平台。此外,LastPass可以作為浏覽器擴充安裝在許多流行的浏覽器中。密碼通過LastPass伺服器同步。除了桌面版本,密碼資料庫還可以從浏覽器擴充和Android裝置中獲得。
Dashlane是Dashlane在2012年開發的,它還支援Windows、macOS、iOS和Android。密碼通過Dashlane伺服器同步,密碼資料庫隻能通過檔案系統提取從計算機或移動裝置擷取。
KeePass是一個開源應用程式,它的本地建構隻适用于Windows,所有主要的桌上型電腦和移動平台都有大量的第三方端口。KeePass不提供備份或同步選項,資料庫可以從本地桌上型電腦或通過移動裝置的檔案系統提取來擷取。
正如我前面提到的,密碼管理器将密碼存儲在本地資料庫中。這些資料庫可以使用一個主密碼進行加密。由于資訊的敏感性,這種保護通常非常強大,可以承受高性能的暴利攻擊。但是,許多密碼管理器針對其應用程式和插件中的不同資料庫采用不同的保護設定。 Windows桌面應用程式通常會提供最強的保護,而Android應用程式将使用最弱的保護。一些密碼管理器使用自适應保護強度,該強度取決于特定裝置的運作性能。
無論哪種方式,在攻擊密碼管理器資料庫時都必須使用GPU輔助攻擊,最新版本的 Elcomsoft Distributed Password Recovery 可以利用GPU加速來加快對用主密碼加密的1Password,Dashlane,KeePass和LastPass資料庫的攻擊。以下基準測試示範了對從1Password,Dashlane,KeePass和LastPass的相應Windows桌面應用程式提取的本地資料庫的攻擊性能:
如果你對不同密碼管理器的基準值感到困惑,那是因為它們令人困惑。不過,密碼管理器在不同環境中确實采用了不同的保護設定。例如,如果我們使用了1Password,則恢複速度取決于雜湊演算法(SHA-1,SHA-256或SHA-512)和疊代次數。桌面Windows應用程式支援SHA-512,它的散列輪數似乎是随機的,散列輪數是根據特定計算機的性能和其他一些特性單獨計算的,這是為了確定沒有延遲地打開密碼資料庫。這意味着,攻擊的速度随着疊代次數的增加而下降。出于這個原因,1Password的基準看起來可能非常混亂。
使用唯一的密碼是不夠的
即使每個網絡帳戶都使用唯一的随機密碼,這也不足以確定網絡的安全。 如果使用者使用一個“通用”電子郵件帳戶,如攻擊者使用被攻擊的雅虎郵件不僅能夠通路存儲在該帳戶中的曆史電子郵件消息,而且還可以請求用該電子郵件位址注冊的其他帳戶的密碼重置。至于是哪個帳戶? 通過分析使用者的電子郵件曆史記錄,則很容易猜到。 攻擊者使用一個遭到入侵的Google帳戶就可以得到存儲的密碼,進而通路使用者的整個數字世界的生活軌迹。 同樣,受攻擊的Apple和Microsoft帳戶也會導緻類似的後果。 是以,我們再怎麼強調雙因素身份驗證的重要性也不為過。我們認為,任何蘋果ID、谷歌賬戶、Facebook或微軟賬戶都必須經過雙因素身份驗證才保險。
![Windows下配置Apache的SSL服務[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)