虽然容易被猜到的密码造成的攻击事件经常会出现在媒体的头条新闻,其实现在的密码破解系统已经非常高级,甚至能够破解看似复杂的助记符设备创建的密码。通过使用现成的图形处理器进行廉价的并行计算,目前的破解技术每小时可以猜测万亿次密码组合。
追踪受感染账户的InfoArmor公司子公司PwnedList总裁Steve Thomas表示,例如,从全球智能服务Stratfor的网站窃取的散列密码列表包含超过63万个随机生成的密码,包含8个字母数字字符。破解工作只花了不到24小时,来完全恢复被盗文件中的815000个散列部分,这部分是因为该公司没有增加一个随机seed到哈希算法,也就是加盐值。
Thomas表示,“破解技术从来没有这么先进,每秒能够猜测230亿个密码可能性,当你得到一些哈希值,你可以快速地破解大部分,或者甚至全部,只需要用数小时。”
在过去的五年中,有三个因素推动着密码破解的“复兴”。密码恢复程序已经获得了巨大的计算能力,从以前基于字典的密集型计算和暴力破解转变成现在的图形处理器,但用户却仍然在继续使用相同的助记符来创建密码,这种方法似乎很安全,同时容易记住。然而,网站(从Linked到Stratfor以及从RockYou到Sony)的不安全性为研究人员提供了数以百万计的哈希值,他们可以利用这些哈希值来入侵用户用来创建密码的系统。
在破解技术飞速发展的同时,攻击者和研究人员也非常善于猜测用户可能创建密码的方式。通过创建更好常用词列表和更智能的混合单词和短语方法,攻击者和研究人员可以更容易地破解密码。密码恢复公司ElcomSoft发言人Olga Koksharova表示:“当密码不是完全随机的,而是使用一些技巧来创建密码时,智能猜测很容易猜出密码。而对于完全随机的密码,只有暴力破解才可行,这时候速度就成为‘最重要的因素’。”
然而,密码破解者的速度也已经获得了提升。例如,通过利用一台具有单个显卡的计算机,oclHashcat-plus程序每秒钟可以猜测几十万到数十亿密码组合,这取决于密码文件中加密条目使用的哈希算法。
安全咨询公司Errata Security首席执行官Robert Graham表示,“这种技术被用于显卡中,因为这可以很好地进行并行计算,目前的顶级视频卡Radeon 7970每秒可以进行超过10亿次猜测,针对一些流行的哈希算法。”
不过,破解技术的这些进展是否会给用户带来危险还是一个疑问。虽然有些攻击依赖于猜测少数几个密码,例如今年早些时候对WordPress和Joomla的攻击,攻击者通常不会花时间进行离线密码破解。相反地,他们会利用社会工程学技术来获得受害者的账户信息。
尽管如此,用户仍然可以采取几个简单的步骤来保护密码安全和阻止灾难性的攻击。用户不应该只是使用单词组合、数字或符号组合,因为攻击者首先会试图攻击这种类型的密码。
选择一个非常安全的密码的重要性比大多数人认为的要低,最重要的网站(例如银行和电子邮件供应商)的密码文件很少会被盗,因此,用户需要确保在不同的网站不要使用相同的密码。
Robert Graham表示,“对于你真的想要保护的每个网站账户,请确保这个密码的独特性,不要在其他任何网站使用这个密码,否则,当那些网站被攻击,密码被盗时,攻击者将可能获取你的重要账户。”
使用密码管理器可能是最好的方法,因为它会产生随机密码,同时最大限度地减少重复使用现象。