攻击者使用两种方法来解密密码
大多数计算机用户在注册在线服务,创建Windows帐户以及要求他们选择密码的其他活动时,都会使用弱密码。选择更强密码的唯一情况是当服务强迫他们这样做时。大多数Internet服务不会这样做,可能是因为担心许多用户在遇到密码创建问题(12个以上的字符,1个以上的数字和特殊字符)时会离开帐户创建屏幕。
许多Internet用户选择弱密码的主要原因有两个。首先是因为它更容易记住,而且这样做似乎没有内在的危险。如果服务不安全,它将要求使用更强的密码,对吗?他们肯定最了解。第二,因为他们可以。
攻击者使用两种方法来解密密码。两种最常见的方法是暴力破解和字典攻击。在暴力破解中,所有可能的密码组合均以aaa开头进行测试,或者要求的最低密码最多为8个字符。为什么是八个?因为此后,如果您使用家庭设置来破解密码,则需要数年才能获得结果。
Ars Technica昨天报道了一个有关25 gpu群集的故事,该群集在不到六个小时的时间内破解了八个或更少字符的每个标准Windows密码。该机器专为暴力破解算法而设计,可以以以前无法在家中使用的速度攻击其他45种算法。
构建机器的安全研究人员针对泄漏的LinkedIn密码数据库测试了其前身。结果?通过使用暴力破解和5亿个强词列表的组合,所有650万个密码中有90%被它破解了。在新机器的帮助下,攻击只会持续四分之一的时间。尽管旧机器的155亿个猜测是惊人的,但新机器对Sha1(LinkedIn算法)的630亿猜测又一次提高了赌注。
尽管非常引人注目,但需要注意的是,这仅适用于脱机攻击,在该脱机攻击中,已检索到密码数据库或文件并在本地可用。速度很大程度上取决于所使用的算法。例如,MD5最高可达到180G / s,而较慢的散列(如bcrypt(05))则可达到71k / s。
破解密码
在您的密码中添加其他字符也将极大地提高游戏质量。尽管该机器能够使用当今互联网上许多站点所使用的快速算法强行强制使用八个或更少的字符密码,但是当使用更长的密码时,它将碰壁。例如,另外两个字符将使处理时间增加到数年。
需要指出的是,攻击者通常结合使用字典攻击和暴力破解。字典攻击会针对数据库测试单词列表,这就是为什么永远不要选择字典单词(例如“ password”,“ computer”或“ princess”)或修改后的字典单词(例如“ password1”,“ Micro $ oft”)的原因或“ princ3ss”以保护其帐户。
唯一可行的方法是每次注册服务时都使用密码管理器来创建强大的唯一密码。您可以为此使用离线密码管理器(例如KeePass)或在线管理器(例如LastPass)。对于Windows和其他操作系统,建议使用DiskCryptor之类的程序对硬盘驱动器进行加密,以保护驱动器上的数据免受攻击。