人妻无码中文久久久久专区,色窝窝精品一区二区,日韩在线6,欧美91精品国产自产

網(wǎng)站首頁
 
公司新聞
行業(yè)新聞
您當(dāng)前的位置:網(wǎng)站首頁 ->> 行業(yè)新聞
黑客如何破解密碼,為什么不能阻止他們?
發(fā)布時間:2017-11-24 08:53:17 點擊:2216

 如今,密碼破解者能夠采用更先進的密碼破解軟件和工具獲取比以往更多的密碼。
  
  行業(yè)專家們認(rèn)為,企業(yè)數(shù)據(jù)的安全依靠傳統(tǒng)密碼的時代已經(jīng)過去了。他們應(yīng)該采用更安全的訪問方法,如多因素身份驗證(MFA),生物識別,以及單點登錄(SSO)系統(tǒng)。根據(jù)Verizon公司最近發(fā)布的“數(shù)據(jù)泄露調(diào)查報告”,81%的與黑客有關(guān)的違規(guī)行為涉及被盜或弱密碼。
  
  首先了解一下密碼破解技術(shù)。當(dāng)目標(biāo)是企業(yè),個人或公眾時,雖然故事是不同的,但最終結(jié)果通常是相同的。因為黑客贏了。
  
  從哈希密碼文件中破解密碼
  
  如果企業(yè)所設(shè)定的密碼很快被破解,通常是其密碼文件已被盜用。一些企業(yè)存有自己的明文密碼列表,而有安全意識的企業(yè)通常以密碼形式保存密碼文件。Verodin公司的首席信息官安全(CISO)BrianContos說,哈希文件可以用于保護域控制器的密碼、LDAP和Active Directory等企業(yè)認(rèn)證平臺,以及許多其他系統(tǒng)的密碼。
  
  這些哈希(包括加鹽哈希)加密不再是非常安全的方式。哈希是擾亂密碼的一種方式,使得文件不能再被他人解密。而如果人們檢查密碼是否有效,在登錄之后,系統(tǒng)會打亂用戶輸入的密碼,并將其與之前已存檔的密碼進行比較。
  
  攻擊者手中的密碼文件使用一種“彩虹表”來解密哈希方法簡單的搜索。他們還可以購買專為密碼破解而設(shè)計的專用硬件,從亞馬遜或微軟公司等公共云提供商租用空間,建立或租用僵尸網(wǎng)絡(luò)來破解密碼。
  
  那些本身并不是密碼破解專家的攻擊者可以進行外包。Contos說:“這些人可以租用這些服務(wù)幾個小時,幾天甚至幾個星期,而且通常也有技術(shù)支持。人們在這個領(lǐng)域?qū)⒂锌吹胶芏鄬I(yè)化的應(yīng)用!
  
  Contos表示,破解哈希列密碼只需要一定的時間,即使是以前被認(rèn)為是十分安全的密碼,其破解時間也不會長達數(shù)百萬年。他說:“根據(jù)我對人們?nèi)绾蝿?chuàng)建密碼的經(jīng)驗,通常在不到24小時內(nèi),黑客就會破解80%到90%的密碼。如果有足夠的時間和資源,黑客就能夠破解所有的密碼。而不同的只是需要數(shù)小時、數(shù)天或數(shù)周的時間罷了!
  
  對于人類創(chuàng)建的任何密碼而言,實際上不如由計算機隨機生成的密碼。他說,如果用戶需要一些他們保證安全的東西,那么采用一個更長的密碼是很好的做法,但它不能代替強大的多因子身份驗證(MFA)。
  
  被盜的哈希文件特別容易受到攻擊,因為所有的工作都是在攻擊者的計算機上完成的。因此沒有必要向網(wǎng)站或應(yīng)用程序發(fā)送試用密碼,看它是否有效。
  
  Coalfire實驗室的安全研究員Justin Angel說:“我們更喜歡采用Hashcat,配備專用的破解機器,并輔以多個圖形處理單元,通過密碼哈希算法來破解密碼列表。使用這種方法在一夜之間破解數(shù)以千計的密碼,這種情況并不罕見!
  
  僵尸網(wǎng)絡(luò)實現(xiàn)大規(guī)模市場的攻擊
  
  對大型公共場所使用的僵尸網(wǎng)絡(luò)攻擊,攻擊者嘗試采用登錄名和密碼的不同組合進行登錄。他們使用從其他站點竊取的登錄憑據(jù)和人們通常使用的密碼進入。
  
  利伯曼軟件公司總裁Philip Lieberman表示,這些密碼可以免費獲得或以低成本獲得,其中包括大約40%的互聯(lián)網(wǎng)用戶的登錄信息。他說:“創(chuàng)建了大量數(shù)據(jù)庫的雅虎公司這樣的行業(yè)巨頭都沒有防止數(shù)據(jù)泄露,黑客可以利用這些數(shù)據(jù)謀利!
  
  通常,這些密碼長期保持有效。Preempt Security公司首席技術(shù)官Roman Blachman表示:“即使在違約事件發(fā)生之后,許多用戶也不會改變他們已經(jīng)泄露的密碼!
  
  “例如,黑客想進入銀行賬戶。多次登錄同一帳戶將觸發(fā)警報、鎖定或其他安全措施。所以,他們通常從一個已知的電子郵件地址的名單開始,然后獲取人們使用的最常見的密碼列表!盢trepid公司首席科學(xué)家LanceCottrell說,“他們嘗試采用最常見的密碼登錄到每一個電子郵件地址,而每個賬戶都會經(jīng)歷一次失敗!
  
  “黑客在等待幾天之后,然后嘗試使用另一個最常見的密碼的每個電子郵件地址!彼f,“黑客可以使用僵尸網(wǎng)絡(luò)中的上百萬臺受感染的電腦進行嘗試,所以目標(biāo)網(wǎng)站看不到來自單一來源的所有嘗試。”
  
  行業(yè)廠商正在開始解決這個問題。使用LinkedIn,F(xiàn)acebook或Google等第三方認(rèn)證服務(wù)有助于減少用戶必須記住的密碼數(shù)量。而進行雙重身份驗證(2FA)對于主要云供應(yīng)商以及金融服務(wù)站點和主要零售商而言正變得越來越常見。
  
  SecureWorks公司安全研究員James Bettke表示,標(biāo)準(zhǔn)制定機構(gòu)也在加緊實施安全標(biāo)準(zhǔn)。今年六月,美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)發(fā)布了一套更新的數(shù)字身份指南,專門處理這個問題。他表示:“密碼復(fù)雜性要求和定期重置實際上會導(dǎo)致密碼變?nèi)酰@樣將導(dǎo)致用戶重用密碼,并回收可預(yù)測的模式。
  
  數(shù)據(jù)安全商VASCO公司的全球法規(guī)和標(biāo)準(zhǔn)總監(jiān)Michael Magrath說,即線上快速身份驗證(FIDO)聯(lián)盟也正致力于推廣強有力的認(rèn)證標(biāo)準(zhǔn)。他說:“靜態(tài)密碼是不安全的。”
  
  除了這些標(biāo)準(zhǔn)之外,還有一些新技術(shù)(如行為特征識別技術(shù)和面部識別技術(shù))可以幫助提高消費者網(wǎng)站和移動應(yīng)用程序的安全性。
  
  你的密碼被盜了嗎?
  
  針對個人用戶,網(wǎng)絡(luò)攻擊者檢查用戶的憑據(jù)是否已經(jīng)從其他網(wǎng)站盜取,因為有可能使用相同的密碼或類似的密碼。OpenText公司的高級副總裁兼安全分析總經(jīng)理Gary Weiss說:“幾年前,LinkedIn的數(shù)據(jù)泄露事件就是一個很好的例子。黑客竊取了Facebook創(chuàng)始人馬克•扎克伯格的LinkedIn密碼,并且能夠訪問其他平臺,因為他顯然在其他社交媒體重新使用了這個密碼!
  
  據(jù)一家提供密碼管理工具提供商Dashlane公司的研究,每個人平均有150個需要密碼的賬戶,這意味著人們要記住太多的密碼,因此大多數(shù)人只使用一個或兩個密碼,有的只是進行一些簡單的變化。但這是一個嚴(yán)重的問題。
  
  Dashlane公司首席執(zhí)行官Emmanuel Schalit表示:“人們有一個常見的誤解,認(rèn)為如果有一個非常復(fù)雜的密碼,就可以在任何地方使用,并會保持安全,這種想法是完全錯誤的。在這一點上,如果用戶的一個非常復(fù)雜的密碼已經(jīng)被盜用,那意味著所有信息可能會全部泄露。”
  
  如果某人可能在其銀行或投資賬戶設(shè)置一個安全性非常好的密碼,但是如果其gmail郵箱沒有安全的密碼,攻擊者可以進入郵箱,而通過電子郵件進行密碼恢復(fù),攻擊者將擁有你的文件。
  
  一旦任何一個網(wǎng)站被黑客入侵,其密碼被竊取,就可以利用它來訪問其他帳戶。如果黑客能夠進入企業(yè)用戶的電子郵件帳戶,他們將在其他地方重置用戶的密碼!袄纾绻橙丝赡茉谄溷y行或投資賬戶設(shè)置一個安全性非常好的密碼,但是如果其gmail郵箱沒有安全的密碼,攻擊者可以進入郵箱,而通過電子郵件進行密碼恢復(fù)!盨chalit說,“有一些人遭遇了密碼重置的攻擊。”
  
  如果黑客發(fā)現(xiàn)一個沒有限制登錄嘗試的網(wǎng)站或內(nèi)部企業(yè)應(yīng)用程序,也會嘗試使用通用密碼列表、字典查找表和密碼破解工具(如Johnthe Ripper,Hashcat,或Mimikatz)。
  
  而對于商業(yè)服務(wù),網(wǎng)絡(luò)犯罪分子可以使用更復(fù)雜的算法來破解密碼。xMatters公司首席技術(shù)官Abbas HaiderAli表示,密碼文件的持續(xù)泄漏將為這些商業(yè)服務(wù)提供極大的幫助。
  
  人們想到的密碼,如采用符號代替字母,使用巧妙的縮寫或鍵盤模式;蚩苹眯≌f中不尋常的名字,但這些方法別人也會想到。他說:“不管設(shè)置的人有多聰明,人為設(shè)置的密碼對于高明的黑客來說都是毫無意義的!
  
  Ntrepid公司的Cottrell說,密碼破解的應(yīng)用程序和工具如今已經(jīng)變得非常復(fù)雜。他說:“但是人類在選擇密碼方面并沒有得到太多的改善!
  
  對于一個高價值的攻擊目標(biāo),攻擊者也將研究可以幫助他們回答安全恢復(fù)問題的信息。用戶帳戶通常只是電子郵件地址,他補充說,企業(yè)電子郵件地址很容易被猜測,因為它們是標(biāo)準(zhǔn)化的格式。
  
  如何檢查密碼的強度
  
  在告知用戶選擇的密碼是否安全方面,大多數(shù)網(wǎng)站做得很差。他們的密碼通常變得過時,而通常采用的是八個字符的長度,大小寫字母,符號和數(shù)字的組合。
  
  第三方網(wǎng)站將評估用戶密碼的強度,但用戶對使用的網(wǎng)站應(yīng)該小心謹(jǐn)慎。Cottrell說:“糟糕的事情是上一個隨機的網(wǎng)站,輸入密碼進行測試!
  
  但是,如果人們對密碼破解需要多長時間感到好奇,可以嘗試登錄Dashlane公司的網(wǎng)站HowSecureIsMyPassword.net。另一個測量密碼強度的站點是軟件工程師Aaron Toponce的Entropy TestingMeter,用于檢查字典詞匯,詞匯和常見模式。他建議選擇至少70位熵的密碼。他再次建議不要在網(wǎng)站上輸入真實的密碼。
  
  對于大多數(shù)用戶來說,他們登錄的網(wǎng)站和應(yīng)用程序會產(chǎn)生一些想法。用戶期望為每個站點提供獨特的密碼,每三個月更換一次,并且保證安全時間足夠長,并且還記得這些密碼,這可能實現(xiàn)嗎?
  
  Cottrell說:“人們選擇密碼的一個經(jīng)驗法則是,如果能記住這個密碼,那么就不是一個好的密碼。當(dāng)然,如果能記住其中一些密碼的話,那么這些就不是安全的密碼!
  
  他說,使用隨機生成的長度最長的密碼,并使用安全的密碼管理系統(tǒng)進行存儲。他說:“我的密碼保險箱里有超過1000個密碼,幾乎都是20多個字符的長度!
  
  對于數(shù)據(jù)庫等關(guān)鍵密碼,建設(shè)使用長密碼。Cottrell說,“這個密碼不應(yīng)該是一句話,也不應(yīng)該是任何一本書的內(nèi)容,對用戶來說是值得紀(jì)念意義的就可以。我的建議是,使用具有30個字符的短語,這對暴力破解密碼的工具來說,實際上是不可能破解的!
  
  Dashlane公司安全負(fù)責(zé)人Cyril Leclerc的表示,對于網(wǎng)站或應(yīng)用程序的個人密碼,20個字符是合理的長度,但前提是這些字符是隨機的。他說:“破解者可以破解20個字符的人為設(shè)置的密碼,但不會破解隨機生成的密碼,即使有人擁有能力無限的未來計算機,黑客也有可能只破解一個密碼,而且在這項任務(wù)上花費了大量的時間,這樣做將會得不償失!

來源:機房360

石家莊服務(wù)器托管  石家莊服務(wù)器租用  石家莊機柜租用  石家莊機房

 
上一條: 工信部印發(fā)公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急預(yù)案 下一條: 數(shù)據(jù)中心現(xiàn)代化的7個步驟
關(guān)閉窗口
 
Copyright ©2011-2012 版權(quán)所有:河北速聯(lián)速通網(wǎng)絡(luò)科技有限公司 冀ICP備08088733號-3 公安機關(guān)備案號:13010302000093 經(jīng)營性IDC ICP ISP證編號:B1.B2-20080080
四虎免费成人电影| 国产成人无码AV在线| 中文日韩第5页| 欧美精品在线播放| 亚洲图片在线观看| 久也在线中文字幕| √8国产| 欧美大人和孩做爰aⅴ| 天天视频国产精品| 香蕉视频日韩| 开心五月华人基地| 香港三级片精品一二三| 星辰视频在线观看电影| 日韩中文字幕亚洲| 最新人妻色| 韩日精品久久久| 激情五月情综合网| 在线观看一区二区三区国产免费| 粉嫩av无码一区涩爱| 热热观看| 亚洲v欧| 欧美88| 久久久久亚洲AV成人片 | 九月婷婷色| www.欧洲亚洲| 蜜臀AV 国内精品久久久| 天天影视色香欲综合| 五月丁香六月婷婷开心| 色五月亭亭综合网| 黄色网站在线观看高清无码| 麻豆荡妇网| 日韩av一区二区三区免费看| 东北女人BBw| 人妻半推半就精品国语| 亚洲天天爽| 亚洲激情综合网| 2020中文字幕| 久久精品日韩AⅤ无码| 色www视频| 国产高潮流白浆免费观看| 天堂另类网站|