我們都痛恨密碼，然而不幸的是在當(dāng)下及可以看見的未來里，賬戶登錄等在線認(rèn)證操作的主要方法還是需要使用密碼的。密碼認(rèn)證有時(shí)確實(shí)比較煩人，尤其是一些網(wǎng)站為了密碼安全性，要求我們?cè)谠O(shè)置密碼時(shí)必須包含大小寫字母、數(shù)字或特殊字符。

微軟發(fā)布的最新研究報(bào)告稱：增強(qiáng)密碼復(fù)雜性基本是沒有任何意義的。在本文中，我將簡(jiǎn)要分析一下微軟的理論，并且與大家探討下兩個(gè)新的密碼安全解決方案。

什么是暴力破解?

暴力破解攻擊是指攻擊者通過系統(tǒng)地組合所有可能性(例如登錄時(shí)用到的賬戶名、密碼)，嘗試所有的可能性破解用戶的賬戶名、密碼等敏感信息。攻擊者會(huì)經(jīng)常使用自動(dòng)化腳本組合出正確的用戶名和密碼。更多信息請(qǐng)點(diǎn)我

增強(qiáng)密碼復(fù)雜性基本沒用

在密碼能強(qiáng)大到無視社工字典的攻擊后，采取的那種攻擊稱為暴力破解。這類暴力破解又分兩種：在線破解和離線破解。

在線破解時(shí)，黑客通常使用與用戶正常操作時(shí)相同的應(yīng)用接口(比如登錄時(shí)用到的web接口)，因而可能被某些安全防控規(guī)則限制。然而由于離線破解的必要條件是黑客已經(jīng)獲取了密碼文件，因而黑客們進(jìn)行密碼暴力猜解時(shí)通常是毫無忌憚、無所限制的。

微軟安全研究人員發(fā)現(xiàn)，通過在線破解所嘗試直至成功的次數(shù)最高約為100萬次，而離線破解則達(dá)到了10億次之多。

因此一個(gè)不太復(fù)雜的百萬次猜解級(jí)別的密碼“tincan24”與一個(gè)10億次猜解級(jí)別的密碼“7Qr&2M”相比，他們對(duì)于在線破解來說都是強(qiáng)密碼，而通過離線破解則都不堪一擊。同時(shí)后者還更加難以記住。

這就告訴我們，在離線暴力破解攻擊面前，增強(qiáng)密碼復(fù)雜性基本沒用。

當(dāng)密碼文件泄露后

為了對(duì)抗密碼文件泄露后的離線破解攻擊，我們需要做一些防護(hù)措施。

在微軟的報(bào)告里提到一個(gè)通用解決方案：

將每個(gè)密碼進(jìn)行加密，然后將密鑰儲(chǔ)存在硬件安全模塊(HSM)之中。因?yàn)镠SM并沒有提供密鑰的外部訪問接口，所以想要解密密文，只能通過應(yīng)用程序走正常流程，那樣即使拿到了密文也沒有太大用處。

兩個(gè)創(chuàng)新性防護(hù)方案

對(duì)于防密碼文件泄露，國外安全研究者提出兩個(gè)創(chuàng)新性的解決方案：

1、在Derbycon 2014大會(huì)上，Benjamin Donnelly和Tim Tomes提出了他們的“球鏈”(BAC)解決方案。BAC提供了一種方法，可以人工填充密碼文件從而增加文件大小。當(dāng)然，密碼數(shù)據(jù)會(huì)安全地存放在文件里不會(huì)丟失，這樣一來密碼的猜解難度增大了許多。打個(gè)比方，黑客想要在線猜解一個(gè)2TB大小的密碼文件，至少得花費(fèi)1個(gè)月的時(shí)間。這么長(zhǎng)的時(shí)間，再加上如此大的數(shù)據(jù)發(fā)送量，黑客的攻擊有非常大的可能性會(huì)暴露。

2、以色列某新興公司Dyadic，向公眾展示了它的分布式安全模塊(DSM)。DSM運(yùn)用了最先進(jìn)的分布式計(jì)算(MPC)加密技術(shù)，通過把每組密碼進(jìn)行分割后，分布式存儲(chǔ)在多個(gè)服務(wù)器上。黑客想要破解密碼，需要遍歷多個(gè)服務(wù)器。由于各服務(wù)器有著不同的訪問憑證，甚至操作系統(tǒng)也可能不一樣，這會(huì)大大增加黑客的破解難度。

結(jié)語

把密碼保護(hù)的重任壓在用戶身上是不科學(xué)的，作為安全研究人員，我們顯然不能一味地要求用戶增加密碼復(fù)雜度。而諸如使用對(duì)稱/非對(duì)稱算法存儲(chǔ)密碼、加鹽(salt)、加密機(jī)的使用似乎都是老生常談，技術(shù)也并不新鮮。

有沒有一些新的技術(shù)或方式可以提高密碼及密碼存儲(chǔ)安全性?上文中國外的安全研究者拋出了兩種方法，國內(nèi)的同志們的呢?歡迎在本文評(píng)論中討論和交流。

參考來源：http://www.securityweek.com/brute-force-attacks-crossing-online-offline-password-chasm