黑客是如何知道我們常用的密碼的

　本文講的是 :   黑客是如何知道我們常用的密碼的 ,  【IT168技術】我們當然會想方設法來保護密碼的安全，比如增加密碼長度、使用複雜的語法以及特殊字元等等，這確實有助於增強密碼的安全性，這些方法往往要求你每90天更改一次密碼，但奇怪的是看不到什麼明顯的好處。

　　壞傢伙們通常會用四種基本的方法得到你的密碼：

　　(A)直接詢問，所謂的“釣魚”和“社會工程學”的攻擊仍然在進行，並且一直有效

　　(B)試著用字型檔來匹配提示框，希望碰到好運氣

　　(C)獲取加密之後的密碼或雜湊碼，反過來進行解密

　　(D)使用keylogger等惡意軟體在你在電腦中輸入時獲取密碼

　　這四種情況不會因為你每隔90天更改了一次密碼就從你身邊走開。如果壞人們無法在幾天內攻破雜湊碼(C)，他很可能去尋找更容易的攻擊目標。

　　攻擊(B)也是速戰速決型，壞人們通常只使用前幾百個單詞，如果無效的話馬上就會轉向其他更容易的獵物。如果(B)或(C)攻擊成功，或者攻擊者通過更簡單的(A)或(D)獲知密碼，那麼他們平均只需要45天就足以把你的銀行帳戶弄得一乾二淨，或者把你的電子郵件地址變成傳送垃圾郵件的據點。

　　在過去25年左右的時間裡，密碼過期的概念沒有什麼變化。資訊安全技術人員、審計人員、PCI、ISO27002和COBIT等等的要求都保持不變，但威脅已經改變了不少。通常，密碼脆弱的使用者只會用另一個脆弱的密碼來替代。而強迫一個密碼強度已經很高的使用者更改密碼最終反而會惹惱他而使用簡單的密碼。

　　那麼90天的密碼更改週期到底有什麼意義呢?有一個實際的好處。那就是如果有人有你的密碼而他們想做的一切只是偷偷的閱讀你的電子郵件，那麼你改變密碼可以阻止他們永遠這樣做下去。定期更改密碼並不能抵禦那些想要竊取你的機密的惡意攻擊者，但它確實能讓你擺脫那些偷偷摸摸的潛入者或窺探者。沒錯，這是好的。但是，這點好處是否值得去強迫使用者去不嫌麻煩的每90天更改一次密碼呢，我有些懷疑。

　　資訊保安風險管理的主要工作應該是識別威脅和漏洞，然後選擇對策。但是，如果選擇的對策實際上並不太可能降低所識別的威脅的話，那麼它在安全工作中也是於事無補的。

　　當然，各方提供的“最佳實踐標準”和審計部門的專員們會迫使我們用它。

　　以下是評論：

　　我為一家財富500強企業引入了“每90天改變你的密碼”的規則，我來做個解釋。許多人在多個系統上使用相同的密碼。我發現其中有一臺系統允許使用者檢視名稱目錄中隱藏在文字域中的雜湊密碼，這是產品本身的弱點，我們發現這個雜湊演算法很容易破解，於是立即改變了雜湊演算法並且做出了90天的規則，這樣能夠確保密碼雜湊的持續清潔，並且鼓勵員工在外部網站使用與企業內部不同的密碼。

　　緩解攻擊不會改變它的發生概率，但能改變攻擊成功的可能性。你所做的假設中所有的密碼竊賊都會在試上幾次強力攻擊後放棄，一般來說是這樣，但並不總是。你暗示我們(審計部門)看不到不斷變化的威脅是不對的，每90天的週期仍然太長，考慮到今天的處理能力。你必須採取長度、複雜性、歷史以及各種各樣的帳戶鎖定策略。

　　我一直認為密碼更改間隔應該與當前的處理能力掛鉤。隨著計算能力提高，破解雜湊生成彩虹表所花費的時間越來越短。想一想摩爾定律就明白了。我認為應該使用破解工具作為基準，算出一個現實的破解雜湊密碼所需要的時間，然後來確定到底需要多長時間來改變一次密碼。

　　我不明白的是更改密碼的要求變得越來越短。10年前，每年更改一次密碼在許多系統上已經足夠了。最近90天是標準。現在我相信很快會看到60天、30天。

　　使用者有時會共享密碼。這是很讓人頭疼的，而週期性更改密碼的要求會有助於解決這個問題。我贊同強制更改密碼，即使這有可能導致使用者採取低強度的密碼，但要教給他們良好的密碼生成方法，還要給他們提供工具。

　　你可以每年自己破解密碼雜湊幾次，這會迫使那些密碼強度弱的使用者轉變態度。許多使用者使用預設密碼，如果你有5000個使用者，其中至少有100人使用相同的密碼。

　　破解密碼總是很容易，但重要的是培訓好重要的使用者，或者給他們工具。

原文釋出時間為：2015年7月6日

本文作者： Gwendolyn

本文來自雲棲社群合作伙伴IT168，瞭解相關資訊可以關注IT1684

原文標題 :黑客是如何知道我們常用的密碼的