該怎麼辦?精心選擇的密碼仍然受到攻擊
本文講的是 : 該怎麼辦?精心選擇的密碼仍然受到攻擊 , 【IT168 編譯】雖然容易被猜到的密碼造成的攻擊事件經常會出現在媒體的頭條新聞,其實現在的密碼破解系統已經非常高階,甚至能夠破解看似複雜的助記符裝置建立的密碼。通過使用現成的圖形處理器進行廉價的平行計算,目前的破解技術每小時可以猜測萬億次密碼組合。
追蹤受感染賬戶的InfoArmor公司子公司PwnedList總裁Steve Thomas表示,例如,從全球智慧服務Stratfor的網站竊取的雜湊密碼列表包含超過63萬個隨機生成的密碼,包含8個字母數字字元。破解工作只花了不到24小時,來完全恢復被盜檔案中的815000個雜湊部分,這部分是因為該公司沒有增加一個隨機seed到雜湊演算法,也就是加鹽值。
Thomas表示,“破解技術從來沒有這麼先進,每秒能夠猜測230億個密碼可能性,當你得到一些雜湊值,你可以快速地破解大部分,或者甚至全部,只需要用數小時。”
在過去的五年中,有三個因素推動著密碼破解的“復興”。密碼恢復程式已經獲得了巨大的計算能力,從以前基於字典的密集型計算和暴力破解轉變成現在的圖形處理器,但使用者卻仍然在繼續使用相同的助記符來建立密碼,這種方法似乎很安全,同時容易記住。然而,網站(從Linked到Stratfor以及從RockYou到Sony)的不安全性為研究人員提供了數以百萬計的雜湊值,他們可以利用這些雜湊值來入侵使用者用來建立密碼的系統。
在破解技術飛速發展的同時,攻擊者和研究人員也非常善於猜測使用者可能建立密碼的方式。通過建立更好常用詞列表和更智慧的混合單詞和短語方法,攻擊者和研究人員可以更容易地破解密碼。密碼恢復公司ElcomSoft發言人Olga Koksharova表示:“當密碼不是完全隨機的,而是使用一些技巧來建立密碼時,智慧猜測很容易猜出密碼。而對於完全隨機的密碼,只有暴力破解才可行,這時候速度就成為‘最重要的因素’。”
然而,密碼破解者的速度也已經獲得了提升。例如,通過利用一臺具有單個顯示卡的計算機,oclHashcat-plus程式每秒鐘可以猜測幾十萬到數十億密碼組合,這取決於密碼檔案中加密條目使用的雜湊演算法。
安全諮詢公司Errata Security執行長Robert Graham表示,“這種技術被用於顯示卡中,因為這可以很好地進行平行計算,目前的頂級視訊卡Radeon 7970每秒可以進行超過10億次猜測,針對一些流行的雜湊演算法。”
不過,破解技術的這些進展是否會給使用者帶來危險還是一個疑問。雖然有些攻擊依賴於猜測少數幾個密碼,例如今年早些時候對WordPress和Joomla的攻擊,攻擊者通常不會花時間進行離線密碼破解。相反地,他們會利用社會工程學技術來獲得受害者的賬戶資訊。
儘管如此,使用者仍然可以採取幾個簡單的步驟來保護密碼安全和阻止災難性的攻擊。使用者不應該只是使用單片語合、數字或符號組合,因為攻擊者首先會試圖攻擊這種型別的密碼。
選擇一個非常安全的密碼的重要性比大多數人認為的要低,最重要的網站(例如銀行和電子郵件供應商)的密碼檔案很少會被盜,因此,使用者需要確保在不同的網站不要使用相同的密碼。
Robert Graham表示,“對於你真的想要保護的每個網站賬戶,請確保這個密碼的獨特性,不要在其他任何網站使用這個密碼,否則,當那些網站被攻擊,密碼被盜時,攻擊者將可能獲取你的重要賬戶。”
使用密碼管理器可能是最好的方法,因為它會產生隨機密碼,同時最大限度地減少重複使用現象。
原文釋出時間為:2015年7月6日
本文作者:鄒錚
本文來自雲棲社群合作伙伴IT168,瞭解相關資訊可以關注IT168
原文標題 :該怎麼辦?精心選擇的密碼仍然受到攻擊
相關文章
- 當“健康碼”系統遭遇DDoS攻擊了該怎麼辦?
- 企業網路被DDoS攻擊了,該怎麼辦?
- 什麼是CC攻擊?網站被CC攻擊怎麼辦?網站
- 伺服器遭受攻擊怎麼辦?伺服器
- 密碼系統的攻擊密碼
- 網站遇到攻擊怎麼辦?常見攻擊有哪些?(轉)網站
- 網站被攻擊了 該怎麼解決防止被黑客攻擊的問題網站黑客
- PHP中該怎樣防止SQL隱碼攻擊?PHPSQL
- 企業該怎麼選擇代理IP?
- 網站被攻擊怎麼辦 如何查詢網站漏洞攻擊源網站
- 安全密碼儲存,該怎麼做,不該怎麼做?密碼
- DNS攻擊日益增多怎麼辦?ICANN有新招!DNS
- mysql密碼忘了怎麼辦MySql密碼
- 企業管理軟體該怎麼選擇?
- 寶塔找回密碼:忘記密碼怎麼辦?密碼
- 美媒:為什麼政府如此容易受到勒索軟體攻擊?
- 密碼學系列之:生日攻擊密碼學
- BTG(bitcoin gold)受到51%攻擊,攻擊者利用雙重支付獲利Go
- mysql忘了root密碼怎麼辦MySql密碼
- 海外高防伺服器該怎麼選擇伺服器
- 青少年等級考試該怎麼選擇
- 低程式碼&無程式碼,你知道該怎麼區分和選擇嗎?
- 如果mysql的root密碼忘了怎麼辦MySql密碼
- http代理IP的供應商應該怎麼選擇HTTP
- 【知識分享】 伺服器被攻擊怎麼辦?如何防止伺服器被攻擊伺服器
- 電話機器人這麼多,該怎麼選擇?機器人
- 極客時間-實用密碼學-10怎麼防止資料重放攻擊密碼學
- MySQL密碼忘了怎麼辦?MySQL重置root密碼方法MySql密碼
- MySQL密碼忘記後怎麼辦?MySql密碼
- mysql密碼忘記了怎麼辦MySql密碼
- Wifi密碼忘記了怎麼辦WiFi密碼
- 新手應該怎麼選擇VPS伺服器伺服器
- 企業在資料中臺上該怎麼選擇
- 什麼是CC攻擊?網站被CC攻擊該如何防禦?網站
- steam密碼忘了怎麼辦 steam密碼找回方法介紹密碼
- 抖音找回密碼教程 抖音密碼忘記了怎麼辦密碼
- PbootCMS管理員密碼忘記怎麼辦?pboot重置密碼boot密碼
- 伺服器被挖礦木馬攻擊該怎麼處理伺服器