雖然容易被猜到的密碼造成的攻擊事件經(jīng)常會(huì)出現(xiàn)在媒體的頭條新聞，其實(shí)現(xiàn)在的密碼破解系統(tǒng)已經(jīng)非常高級(jí)，甚至能夠破解看似復(fù)雜的助記符設(shè)備創(chuàng)建的密碼。通過(guò)使用現(xiàn)成的圖形處理器進(jìn)行廉價(jià)的并行計(jì)算，目前的破解技術(shù)每小時(shí)可以猜測(cè)萬(wàn)億次密碼組合。

追蹤受感染賬戶的InfoArmor公司子公司PwnedList總裁Steve Thomas表示，例如，從全球智能服務(wù)Stratfor的網(wǎng)站竊取的散列密碼列表包含超過(guò)63萬(wàn)個(gè)隨機(jī)生成的密碼，包含8個(gè)字母數(shù)字字符。破解工作只花了不到24小時(shí)，來(lái)完全恢復(fù)被盜文件中的815000個(gè)散列部分，這部分是因?yàn)樵摴緵](méi)有增加一個(gè)隨機(jī)seed到哈希算法，也就是加鹽值。

Thomas表示，“破解技術(shù)從來(lái)沒(méi)有這么先進(jìn)，每秒能夠猜測(cè)230億個(gè)密碼可能性，當(dāng)你得到一些哈希值，你可以快速地破解大部分，或者甚至全部，只需要用數(shù)小時(shí)。”

在過(guò)去的五年中，有三個(gè)因素推動(dòng)著密碼破解的“復(fù)興”。密碼恢復(fù)程序已經(jīng)獲得了巨大的計(jì)算能力，從以前基于字典的密集型計(jì)算和暴力破解轉(zhuǎn)變成現(xiàn)在的圖形處理器，但用戶卻仍然在繼續(xù)使用相同的助記符來(lái)創(chuàng)建密碼，這種方法似乎很安全，同時(shí)容易記住。然而，網(wǎng)站(從Linked到Stratfor以及從RockYou到Sony)的不安全性為研究人員提供了數(shù)以百萬(wàn)計(jì)的哈希值，他們可以利用這些哈希值來(lái)入侵用戶用來(lái)創(chuàng)建密碼的系統(tǒng)。

在破解技術(shù)飛速發(fā)展的同時(shí)，攻擊者和研究人員也非常善于猜測(cè)用戶可能創(chuàng)建密碼的方式。通過(guò)創(chuàng)建更好常用詞列表和更智能的混合單詞和短語(yǔ)方法，攻擊者和研究人員可以更容易地破解密碼。密碼恢復(fù)公司ElcomSoft發(fā)言人Olga Koksharova表示：“當(dāng)密碼不是完全隨機(jī)的，而是使用一些技巧來(lái)創(chuàng)建密碼時(shí)，智能猜測(cè)很容易猜出密碼。而對(duì)于完全隨機(jī)的密碼，只有暴力破解才可行，這時(shí)候速度就成為‘最重要的因素’。”

然而，密碼破解者的速度也已經(jīng)獲得了提升。例如，通過(guò)利用一臺(tái)具有單個(gè)顯卡的計(jì)算機(jī)，oclHashcat-plus程序每秒鐘可以猜測(cè)幾十萬(wàn)到數(shù)十億密碼組合，這取決于密碼文件中加密條目使用的哈希算法。

安全咨詢公司Errata Security首席執(zhí)行官Robert Graham表示，“這種技術(shù)被用于顯卡中，因?yàn)檫@可以很好地進(jìn)行并行計(jì)算，目前的頂級(jí)視頻卡Radeon 7970每秒可以進(jìn)行超過(guò)10億次猜測(cè)，針對(duì)一些流行的哈希算法。”

不過(guò)，破解技術(shù)的這些進(jìn)展是否會(huì)給用戶帶來(lái)危險(xiǎn)還是一個(gè)疑問(wèn)。雖然有些攻擊依賴于猜測(cè)少數(shù)幾個(gè)密碼，例如今年早些時(shí)候?qū)ordPress和Joomla的攻擊，攻擊者通常不會(huì)花時(shí)間進(jìn)行離線密碼破解。相反地，他們會(huì)利用社會(huì)工程學(xué)技術(shù)來(lái)獲得受害者的賬戶信息。

盡管如此，用戶仍然可以采取幾個(gè)簡(jiǎn)單的步驟來(lái)保護(hù)密碼安全和阻止災(zāi)難性的攻擊。用戶不應(yīng)該只是使用單詞組合、數(shù)字或符號(hào)組合，因?yàn)楣粽呤紫葧?huì)試圖攻擊這種類型的密碼。

選擇一個(gè)非常安全的密碼的重要性比大多數(shù)人認(rèn)為的要低，最重要的網(wǎng)站(例如銀行和電子郵件供應(yīng)商)的密碼文件很少會(huì)被盜，因此，用戶需要確保在不同的網(wǎng)站不要使用相同的密碼。

Robert Graham表示，“對(duì)于你真的想要保護(hù)的每個(gè)網(wǎng)站賬戶，請(qǐng)確保這個(gè)密碼的獨(dú)特性，不要在其他任何網(wǎng)站使用這個(gè)密碼，否則，當(dāng)那些網(wǎng)站被攻擊，密碼被盜時(shí)，攻擊者將可能獲取你的重要賬戶。”

使用密碼管理器可能是最好的方法，因?yàn)樗鼤?huì)產(chǎn)生隨機(jī)密碼，同時(shí)最大限度地減少重復(fù)使用現(xiàn)象。