不過據(jù)安全專家David Campbell的計算，即便用戶不使用安全專家建議的大小寫字母混合式的密碼組合，使用亞馬遜提供的云計算服務(wù)進行密碼暴力破解的黑客，出于成本過高的原因可能也將無法使用這種服務(wù)對具備12位長度的密碼進行破解。 

目前，亞馬遜公司為用戶提供一種名為EC2的云計算網(wǎng)絡(luò)服務(wù)，這種服務(wù)按小時計費.而如果要利用這種服務(wù)來暴力破解長度為12位的密碼，黑客需要為此支付150萬美元以上金額的服務(wù)費。不過如果密碼的長度縮短為11位，那么便只需要不到6萬美元服務(wù)費即可，而10位密碼則需要支付不到2300美元的費用。

按照傳統(tǒng)的安全建議，在密碼中采用大小寫字母混搭的形式更為安全一些，但根據(jù)最近的研究，其提升的安全等級并不如我們所想像得那么大，而密碼的位數(shù)對密碼安全性的提升作用則更大一些。采用這種混搭形式的10位密碼只需要支付不到6萬美元的服務(wù)費，便可以利用EC2云計算服務(wù)暴力破解成功。而11位這樣的密碼則需要花費210萬美元。而如果密碼的長度較短，即使用戶在設(shè)置密碼時采用諸如“!@#$%”這類生僻字符，暴力破解密碼同樣比較容易。采用EC2計算8位長度的這種密碼的費用大約是10.6萬美元左右。

這篇分析文章的全文可以點擊這個鏈接進行查閱。這篇文章以今年早些時候SensePost的安全顧問Haroon Meer在“黑帽”大會上所作的研究報告為基礎(chǔ)。在這篇文章中，Campbell向我們介紹了一種利用亞馬遜EC2云計算服務(wù)來暴力破解并竊取用戶信用卡密碼的方法。

“由于黑帽組織已經(jīng)開始利用云計算等超級計算服務(wù)開展破解行動，因此我們這批負責(zé)安全管理的技術(shù)人員需要重新考慮一些過去被我們忽視的安全細節(jié)。黑客們竊取了用戶的信用卡后，可以利用這些卡里的錢來購買計算能力強勁的機器，這些機器的威力甚至比國家安全機關(guān)中裝備的超級計算機還強。”

盡管亞馬遜向單獨一名用戶提供的云計算服務(wù)計算能力有限，但黑客們也有對應(yīng)的辦法，他們可以利用竊取的多個信用卡賬號同時登陸云計算服務(wù)，讓這些計算同時進行。

Cambell在這次的假設(shè)中采用了一種很簡單的算法：

在計算暴力破解由8位全小寫字母組成的密碼的費用時，他簡單地將暴力破解的次數(shù)設(shè)為26的8次方,這樣，加上大寫字母以及10個阿拉伯?dāng)?shù)字后，暴力破解的次數(shù)則變?yōu)椋?6+26+10）的8次方。而他的密碼破解軟件則每個小時可以暴力計算出93.6億個密碼，將62的8次方除以93.6億，然后再乘以EC2服務(wù)的服務(wù)費，每小時30美分，這樣暴力破解8位全小寫字母密碼的費用計算式便為：((26+26+10)^8/ 9,360,000,000) * .30.

而暴力破解由12位大小寫字母+阿拉伯?dāng)?shù)字組成密碼所需的費用則為((26+26+10)^12 / 9,360,000,000) * .30

使用云計算服務(wù)來替代在公司里設(shè)立維護大量服務(wù)器，顯然對節(jié)省企業(yè)的成本有利。不過現(xiàn)在看來從云計算服務(wù)中受惠最大的恐怕是黑客等群體。

不久以前，安全專家還對102位的RSA密碼長度剛到放心。但隨著電腦技術(shù)的發(fā)展，現(xiàn)在愿意使用2048位密碼長度的安全專家數(shù)量也越來越多。而現(xiàn)在云計算也開始加入到為密碼破解技術(shù)提供服務(wù)的陣營中去，是時候?qū)σ恍﹤鹘y(tǒng)的安全措施進行重新考慮和修改了。

【編輯推薦】

1. 云計算安全保護不足會有何后果？
2. 美國70%的在線用戶使用“云計算”技術(shù)
3. “云計算安全風(fēng)險評估” 列出7大風(fēng)險