向攻击者学习?密码保护 你需要如此的反套路
发布时间:2022-05-30 08:44:21 所属栏目:安全 来源:互联网
导读:大家都知道这种做法不好,而且大部分网民都知道怎样创建足够强的密码:应该包含随机字母、数字和字符,至少 16 位长,并且最重要的是:必须确保唯一性。 那么为什么大家不为自己的每个帐户创建这样不仅唯一,而且足够安全的密码?原因在于,按照美国国家标准
|
大家都知道这种做法不好,而且大部分网民都知道怎样创建足够强的密码:应该包含随机字母、数字和字符,至少 16 位长,并且最重要的是:必须确保唯一性。 那么为什么大家不为自己的每个帐户创建这样不仅唯一,而且足够安全的密码?原因在于,按照美国国家标准与技术协会(NIST)去年发布的新版标识管理指南的结论,对于密码“复杂性”的强调,实际上忽略了需要持续管理大量密码这一现实情况。 每个网民平均有大约 200 个在线帐户,因此实际上很难去责怪用户不保证自己大量密码的唯一性。但同时我们更没有理由去责怪那些为了遵守优秀实践而要求用户必须使用足够复杂密码,但对用户的忽视又束手无策的公司。 不幸的是,虽然 NIST 的新版标识管理指南对于密码安全机制的矫正提供了看似非常卓越的路线图,但在密码要求、安全检查或用户密码使用习惯方面,实际上并不会产生多大的影响。 是时候了,企业必须停止抵抗变化,引导自己的员工和客户养成更安全、更可管理的密码使用习惯。了解威胁的具体实施方式,这有助于我们采取简单的预防性措施斩断伸向受保护帐户的黑手。 简单密码还会造成另一个问题:手头资源有限的攻击者可以借助这样的密码更快速地破解加密算法。 一些全球很受欢迎的在线服务依然在使用过时、甚至不安全的加密技术来“保护”密码,这一点着实令人感觉遗憾。这些加密算法虽然可以阻止低水平攻击者通过读取用户密码访问数据库,但在技能更娴熟的攻击者看来,这只不过是一种有趣的“拼图游戏”而已。 除了使用字典防止用户设置重复、简单,或其他易于猜测的密码,企业还需要了解自己所用哈希算法的局限,并建议用户设置更复杂的密码,例如同时包含数字和字母,甚至通过易于记忆的短句来生成更复杂的密码。 如上所述,当今攻击者所用的工具可以通过常用密码列表发起攻击,甚至可以自动尝试常用密码的各种变体。实际上,这意味着类似 MD5 这种古老(但依然常用)的哈希算法甚至可以在几秒钟内被破解,哪怕用户给密码添加了一串数字或将字母“o”用数字“0”替代,也于事无补。 帮助用户创建更长、更复杂的密码,这是一种增加暴力密码破解难度的好方法,使用诸如 bcrypt 这样的强哈希算法才能让密码更难以被暴力破解。通过将 bcrypt 这样的算法与类似短句的长密码(NIST 建议使用包含符号和空格,64 位长的密码)配合使用,才能真正有效遏制暴力破解(这种情况下的暴力破解可能需要几十年时间)。 (编辑:宁德站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐