微軟：暴力破解面前，增強密碼複雜性基本沒用

http://netsecurity.51cto.com/art/201412/458650.htm
2014-12-02 09:22
我們都痛恨密碼，然而不幸的是在當下及可以看見的未來裏，賬戶登錄等在線認證操作的主要方法還是需要使用密碼的。密碼認證有時確實比較煩人，尤其是一些網站爲了密碼安全性，要求我們在設置密碼時必須包含大小寫字母、數字或特殊字符。

微軟：暴力破解面前，增強密碼複雜性基本沒用

微軟發佈的最新研究報告稱：增強密碼複雜性基本是沒有任何意義的。在本文中，我將簡要分析一下微軟的理論，並且與大家探討下兩個新的密碼安全解決方案。

什麼是暴力破解?

暴力破解攻擊是指攻擊者通過系統地組合所有可能性(例如登錄時用到的賬戶名、密碼)，嘗試所有的可能性破解用戶的賬戶名、密碼等敏感信息。攻擊者會經常使用自動化腳本組合出正確的用戶名和密碼。更多信息請點我

增強密碼複雜性基本沒用

在密碼能強大到無視社工字典的攻擊後，採取的那種攻擊稱爲暴力破解。這類暴力破解又分兩種：在線破解和離線破解。

在線破解時，黑客通常使用與用戶正常操作時相同的應用接口(比如登錄時用到的web接口)，因而可能被某些安全防控規則限制。然而由於離線破解的必要條件是黑客已經獲取了密碼文件，因而黑客們進行密碼暴力猜解時通常是毫無忌憚、無所限制的。

微軟安全研究人員發現，通過在線破解所嘗試直至成功的次數最高約爲100萬次，而離線破解則達到了10億次之多。

因此一個不太複雜的百萬次猜解級別的密碼“tincan24”與一個10億次猜解級別的密碼“7Qr&2M”相比，他們對於在線破解來說都是強密碼，而通過離線破解則都不堪一擊。同時後者還更加難以記住。

這就告訴我們，在離線暴力破解攻擊面前，增強密碼複雜性基本沒用。

微軟：暴力破解面前，增強密碼複雜性基本沒用

當密碼文件泄露後

爲了對抗密碼文件泄露後的離線破解攻擊，我們需要做一些防護措施。

在微軟的報告裏提到一個通用解決方案：

將每個密碼進行加密，然後將密鑰儲存在硬件安全模塊(HSM)之中。因爲HSM並沒有提供密鑰的外部訪問接口，所以想要解密密文，只能通過應用程序走正常流程，那樣即使拿到了密文也沒有太大用處。

兩個創新性防護方案

對於防密碼文件泄露，國外安全研究者提出兩個創新性的解決方案：

1、在Derbycon 2014大會上，Benjamin Donnelly和Tim Tomes提出了他們的“球鏈”(BAC)解決方案。BAC提供了一種方法，可以人工填充密碼文件從而增加文件大小。當然，密碼數據會安全地存放在文件裏不會丟失，這樣一來密碼的猜解難度增大了許多。打個比方，黑客想要在線猜解一個2TB大小的密碼文件，至少得花費1個月的時間。這麼長的時間，再加上如此大的數據發送量，黑客的攻擊有非常大的可能性會暴露。

2、以色列某新興公司Dyadic，向公衆展示了它的分佈式安全模塊(DSM)。DSM運用了最先進的分佈式計算(MPC)加密技術，通過把每組密碼進行分割後，分佈式存儲在多個服務器上。黑客想要破解密碼，需要遍歷多個服務器。由於各服務器有着不同的訪問憑證，甚至操作系統也可能不一樣，這會大大增加黑客的破解難度。