研究表明,由少于8个字符的密码保护的账户,就像用厕纸做的保险箱一样难被攻破。密码最小长度为12 ~ 16个字符,可能需要刷新密码策略。复杂的密码并不是人类大脑设计用来记忆的东西。虽然我还记得大量关于《星球大战》的琐事(抱歉我的螺旋桨吹起了一阵风),但密码并不容易记住。我非常害怕公司发来的30天修改密码的电子邮件,警告我,如果我不绞尽脑汁想出一些可笑的数字、字母和特殊字符的组合,我的数字脐带就会被随意剪断。我感觉自己像是一个不情愿参加手指折磨奥运会的选手,在这个奥运会上,唯一的奖励就是每天多工作10小时的特权。这种痛苦的仓鼠轮让我们不断地更改密码,并用更复杂的版本替换它们,随着企业对密码安全的新威胁的出现,这种痛苦将变得更加困难。
没有帮助……谢谢你的努力…
密码学是一门复杂的学科,它有一个主要目标,那就是保持隐私的私密性。设置安全通信最困难的部分之一是共享密钥(密码验证)的交换。在身份验证期间,密码通过单向散列运行,以防止恢复原始密码字符串,允许它通过不安全的媒体(如互联网)发送。哈希密码被发送到认证设备,如果匹配,则允许用户访问。密码的长度和复杂性直接影响通过暴力破解或字典破解进行猜测所需的时间。时间是攻击者为了恢复用户密码而必须“击败”的最终保护机制。为了减少花费的时间,彩虹表(预计算密码和哈希)经常在破解过程中使用,通过彩虹表进行快速搜索,可以在几分钟而不是几天内恢复密码。攻击者只需在验证散列通过网络或空中传递时嗅出它们,将它们提供给这些工具并等待。
动态蛮力破解的可行性已经显著提高,这在很大程度上得益于英伟达的CUDA编程架构,该架构允许使用现成的高级图形处理器单元(GPU)来大大加速密码破解。通过CUDA,程序员可以使用GPU作为一个强大的并行处理破解引擎。花几百美元,这些gpu提供了比2000年数百万美元的超级计算机更多的原始数据处理能力。英伟达最新的多GPU TESLA工作站可以产生5万亿次浮点数学处理。它结合了6核处理器,可以快速破解密码,你会觉得自己在看一群疯狂的十几岁女孩为了贾斯汀·比伯(Justin Bieber)的演唱会门票而赛跑。
仿佛密码复杂性发布和硬件开裂功能不足以让您担心,您也必须考虑许多人在多个帐户和网站中重用密码的事实。这可能导致一个帐户打开门,以访问银行站点和其他私人信息的折衷。密码缺点不仅仅是一种技术或加密问题,而是人们的问题。没有可重复使用的密码取消传递,但您的复杂性越多,它需要越长,攻击者恢复不切实际。
需要更新密码策略以解决这些新威胁,而组织必须教育用户对密码重用的危险。Biometrics和OneTime密码硬件令牌可以帮助将用户免于密码复杂性和缓解密码开裂,但没有增加这些技术的成本,集成和维护。我个人在我的iPhone上使用密码管理应用程序称为1password,以跟踪我的笔记本电脑同步的所有帐户和密码,甚至包括用于新帐户的强密码创建的密码生成工具。我还使用一次性密码硬件令牌进行VPN访问,并访问关键系统。
我们现在拥有的对抗密码破解的最佳解决方案之一是使用一次性密码,但这些技术并不是在所有应用程序中都普遍存在,因此它只是一个部分答案。你觉得呢?您或您的组织如何解决密码复杂性问题?