摘要:本文講的是 :? 黑客是如何知道我們常用的密碼的 ,? 【IT168技術(shù)】我們當(dāng)然會(huì)想方設(shè)法來保護(hù)密碼的安全馍悟,比如增加密碼長(zhǎng)度肴楷、使用復(fù)雜的語法以及特殊字符等等辕棚,這確實(shí)有助于增強(qiáng)密碼的安全性逆粹,這些方法往往要求你每90天更改一次密碼由驹,但奇怪的是看不到什么明顯的好處芍锚。
本文講的是 :黑客是如何知道我們常用的密碼的, ?【IT168技術(shù)】我們當(dāng)然會(huì)想方設(shè)法來保護(hù)密碼的安全,比如增加密碼長(zhǎng)度蔓榄、使用復(fù)雜的語法以及特殊字符等等并炮,這確實(shí)有助于增強(qiáng)密碼的安全性,這些方法往往要求你每90天更改一次密碼甥郑,但奇怪的是看不到什么明顯的好處逃魄。
壞家伙們通常會(huì)用四種基本的方法得到你的密碼:
(A)直接詢問,所謂的“釣魚”和“社會(huì)工程學(xué)”的攻擊仍然在進(jìn)行澜搅,并且一直有效
(B)試著用字庫來匹配提示框伍俘,希望碰到好運(yùn)氣
(C)獲取加密之后的密碼或哈希碼,反過來進(jìn)行解密
(D)使用keylogger等惡意軟件在你在電腦中輸入時(shí)獲取密碼
這四種情況不會(huì)因?yàn)槟忝扛?0天更改了一次密碼就從你身邊走開勉躺。如果壞人們無法在幾天內(nèi)攻破哈希碼(C)癌瘾,他很可能去尋找更容易的攻擊目標(biāo)。
攻擊(B)也是速戰(zhàn)速?zèng)Q型饵溅,壞人們通常只使用前幾百個(gè)單詞妨退,如果無效的話?cǎi)R上就會(huì)轉(zhuǎn)向其他更容易的獵物。如果(B)或(C)攻擊成功,或者攻擊者通過更簡(jiǎn)單的(A)或(D)獲知密碼咬荷,那么他們平均只需要45天就足以把你的銀行帳戶弄得一干二凈冠句,或者把你的電子郵件地址變成發(fā)送垃圾郵件的據(jù)點(diǎn)。
在過去25年左右的時(shí)間里幸乒,密碼過期的概念沒有什么變化轩端。信息安全技術(shù)人員、審計(jì)人員逝变、PCI基茵、ISO27002和COBIT等等的要求都保持不變,但威脅已經(jīng)改變了不少壳影。通常拱层,密碼脆弱的用戶只會(huì)用另一個(gè)脆弱的密碼來替代。而強(qiáng)迫一個(gè)密碼強(qiáng)度已經(jīng)很高的用戶更改密碼最終反而會(huì)惹惱他而使用簡(jiǎn)單的密碼宴咧。
那么90天的密碼更改周期到底有什么意義呢?有一個(gè)實(shí)際的好處根灯。那就是如果有人有你的密碼而他們想做的一切只是偷偷的閱讀你的電子郵件,那么你改變密碼可以阻止他們永遠(yuǎn)這樣做下去掺栅。定期更改密碼并不能抵御那些想要竊取你的機(jī)密的惡意攻擊者烙肺,但它確實(shí)能讓你擺脫那些偷偷摸摸的潛入者或窺探者。沒錯(cuò)氧卧,這是好的桃笙。但是,這點(diǎn)好處是否值得去強(qiáng)迫用戶去不嫌麻煩的每90天更改一次密碼呢沙绝,我有些懷疑搏明。
信息安全風(fēng)險(xiǎn)管理的主要工作應(yīng)該是識(shí)別威脅和漏洞,然后選擇對(duì)策闪檬。但是星著,如果選擇的對(duì)策實(shí)際上并不太可能降低所識(shí)別的威脅的話,那么它在安全工作中也是于事無補(bǔ)的粗悯。
當(dāng)然虚循,各方提供的“最佳實(shí)踐標(biāo)準(zhǔn)”和審計(jì)部門的專員們會(huì)迫使我們用它。
以下是評(píng)論:
我為一家財(cái)富500強(qiáng)企業(yè)引入了“每90天改變你的密碼”的規(guī)則样傍,我來做個(gè)解釋横缔。許多人在多個(gè)系統(tǒng)上使用相同的密碼。我發(fā)現(xiàn)其中有一臺(tái)系統(tǒng)允許用戶查看名稱目錄中隱藏在文本域中的哈希密碼铭乾,這是產(chǎn)品本身的弱點(diǎn)剪廉,我們發(fā)現(xiàn)這個(gè)哈希算法很容易破解娃循,于是立即改變了哈希算法并且做出了90天的規(guī)則炕檩,這樣能夠確保密碼哈希的持續(xù)清潔,并且鼓勵(lì)員工在外部網(wǎng)站使用與企業(yè)內(nèi)部不同的密碼。
緩解攻擊不會(huì)改變它的發(fā)生概率笛质,但能改變攻擊成功的可能性泉沾。你所做的假設(shè)中所有的密碼竊賊都會(huì)在試上幾次強(qiáng)力攻擊后放棄,一般來說是這樣妇押,但并不總是跷究。你暗示我們(審計(jì)部門)看不到不斷變化的威脅是不對(duì)的,每90天的周期仍然太長(zhǎng)敲霍,考慮到今天的處理能力俊马。你必須采取長(zhǎng)度、復(fù)雜性肩杈、歷史以及各種各樣的帳戶鎖定策略柴我。
我一直認(rèn)為密碼更改間隔應(yīng)該與當(dāng)前的處理能力掛鉤。隨著計(jì)算能力提高扩然,破解哈希生成彩虹表所花費(fèi)的時(shí)間越來越短艘儒。想一想摩爾定律就明白了。我認(rèn)為應(yīng)該使用破解工具作為基準(zhǔn)夫偶,算出一個(gè)現(xiàn)實(shí)的破解哈希密碼所需要的時(shí)間界睁,然后來確定到底需要多長(zhǎng)時(shí)間來改變一次密碼。
我不明白的是更改密碼的要求變得越來越短兵拢。10年前翻斟,每年更改一次密碼在許多系統(tǒng)上已經(jīng)足夠了。最近90天是標(biāo)準(zhǔn)∷盗澹現(xiàn)在我相信很快會(huì)看到60天杨赤、30天。
用戶有時(shí)會(huì)共享密碼截汪。這是很讓人頭疼的疾牲,而周期性更改密碼的要求會(huì)有助于解決這個(gè)問題。我贊同強(qiáng)制更改密碼衙解,即使這有可能導(dǎo)致用戶采取低強(qiáng)度的密碼阳柔,但要教給他們良好的密碼生成方法,還要給他們提供工具蚓峦。
你可以每年自己破解密碼哈希幾次舌剂,這會(huì)迫使那些密碼強(qiáng)度弱的用戶轉(zhuǎn)變態(tài)度。許多用戶使用默認(rèn)密碼暑椰,如果你有5000個(gè)用戶霍转,其中至少有100人使用相同的密碼。
破解密碼總是很容易一汽,但重要的是培訓(xùn)好重要的用戶避消,或者給他們工具低滩。
原文發(fā)布時(shí)間為:2015年7月6日
本文作者:Gwendolyn
本文來自云棲社區(qū)合作伙伴IT168,了解相關(guān)信息可以關(guān)注IT1684
原文標(biāo)題 :黑客是如何知道我們常用的密碼的
如果您發(fā)現(xiàn)本社區(qū)中有涉嫌抄襲的內(nèi)容岩喷,歡迎發(fā)送郵件至:yqgroup@service.aliyun.com 進(jìn)行舉報(bào)恕沫,并提供相關(guān)證據(jù),一經(jīng)查實(shí)纱意,本社區(qū)將立刻刪除涉嫌侵權(quán)內(nèi)容婶溯。
