暴力破解

FB招聘站
分类阅读
专栏
公开课
企业服务
用户服务
手机版
搜索
投稿
登录
注册
微软：暴力破解面前，增强密码复杂性基本没用dawner专栏作者2014-12-02金币奖励+10共617725人围观 ，发现 35 个不明物体WEB安全数据安全
password.jpg

我们都痛恨密码，然而不幸的是在当下及可以看见的未来里，账户登录等在线认证操作的主要方法还是需要使用密码的。密码认证有时确实比较烦人，尤其是一些网站为了密码安全性，要求我们在设置密码时必须包含大小写字母、数字或特殊字符。

微软发布的最新研究报告称：增强密码复杂性基本是没有任何意义的。在本文中，我将简要分析一下微软的理论，并且与大家探讨下两个新的密码安全解决方案。

什么是暴力破解？

暴力破解攻击是指攻击者通过系统地组合所有可能性（例如登录时用到的账户名、密码），尝试所有的可能性破解用户的账户名、密码等敏感信息。攻击者会经常使用自动化脚本组合出正确的用户名和密码。更多信息请点我

增强密码复杂性基本没用

在密码强大到无视社工字典的攻击后，黑客采取的攻击称为暴力破解。这类暴力破解又分两种：在线破解和离线破解。

在线破解时，黑客通常使用与用户正常操作时相同的应用接口（比如登录时用到的web接口），因而可能被某些安全防控规则限制。然而由于离线破解的必要条件是黑客已经获取了密码文件，因而黑客们进行密码暴力猜解时通常是毫无忌惮、无所限制的。

微软安全研究人员发现，通过在线破解所尝试直至成功的次数最高约为100万次，而离线破解则达到了10亿次之多。

因此一个不太复杂的百万次猜解级别的密码“tincan24”与一个10亿次猜解级别的密码“7Qr&2M”相比，他们对于在线破解来说都是强密码，而通过离线破解则都不堪一击。同时后者还更加难以记住。

这就告诉我们，在离线暴力破解攻击面前，增强密码复杂性基本没用。

1211.jpg

当密码文件泄露后

为了对抗密码文件泄露后的离线破解攻击，我们需要做一些防护措施。

在微软的报告里提到一个通用解决方案：
将每个密码进行加密，然后将密钥储存在硬件安全模块（HSM）之中。因为HSM并没有提供密钥的外部访问接口，所以想要解密密文，只能通过应用程序走正常流程，那样即使拿到了密文也没有太大用处。
两个创新性防护方案
对于防密码文件泄露，国外安全研究者提出两个创新性的解决方案：

1、在Derbycon 2014大会上，Benjamin Donnelly和Tim Tomes提出了他们的“球链”（BAC）解决方案。BAC提供了一种方法，可以人工填充密码文件从而增加文件大小。当然，密码数据会安全地存放在文件里不会丢失，这样一来密码的猜解难度增大了许多。打个比方，黑客想要在线猜解一个2TB大小的密码文件，至少得花费1个月的时间。这么长的时间，再加上如此大的数据发送量，黑客的攻击有非常大的可能性会暴露。

2、以色列某新兴公司Dyadic，向公众展示了它的分布式安全模块（DSM）。DSM运用了最先进的分布式计算（MPC）加密技术，通过把每组密码进行分割后，分布式存储在多个服务器上。黑客想要破解密码，需要遍历多个服务器。由于各服务器有着不同的访问凭证，甚至操作系统也可能不一样，这会大大增加黑客的破解难度。

FreeBuf结语

把密码保护的重任压在用户身上是不科学的，作为安全研究人员，我们显然不能一味地要求用户增加密码复杂度。而诸如使用对称/非对称算法存储密码、加盐（salt）、加密机的使用似乎都是老生常谈，技术也并不新鲜。

有没有一些新的技术或方式可以提高密码及密码存储安全性？上文中国外的安全研究者抛出了两种方法，国内的同志们的呢？欢迎在本文评论中讨论和交流。

[参考来源securityweek，译/FreeBuf小编dawner，转载请注明来自FreeBuf.COM]

dawner
dawner
289 篇文章
等级： 9级
||
相关推荐

Github账号遭大规模暴力破解攻击

如何利用查表瓶颈，对抗口令Hash破解

全能暴力破解测试工具——Patator v0.5

业务逻辑漏洞探索之暴力破解

如何破解12位+字符的高强度密码？

关于口令强度等级的设计

如何找到SQL注入中的盐

在多GPU系统上使用hashcat进行密码破解

这些评论亮了

whitemonty(4级)这家伙很懒，就是不肯写个人说明！回复
吓得我把密码改回123456
)33(亮了

AH回复
爲什麽不說增加密碼複雜性對的作用？
)7(亮了

dawner(9级)黎明已经过去，黑暗就在眼前！回复
@ AH 可以脑补联想下辩论赛~一般都是单向论证的
)6(亮了

dawner(9级)黎明已经过去，黑暗就在眼前！回复
@ 我是来捣乱的 各种认证，找一个不可仿冒的认证感觉相对靠谱些。。
)6(亮了

鹿人饼回复
@ dawner 到了生物密码时代数据库安全就变得至关重要了，一旦被窃或者泄露由于其唯一性真是亡羊补牢都不知从何处下手……
)6(亮了
发表评论已有 35 条评论

AH 2014-12-02回复1楼
爲什麽不說增加密碼複雜性對的作用？

亮了(7)

dawner 专栏作者(9级)黎明已经过去，黑暗就在眼前！ 2014-12-02回复
@ AH 可以脑补联想下辩论赛~一般都是单向论证的

亮了(6)

干掉你 (1级) 2014-12-02回复2楼
不切实际，大大增加成本。。

亮了(5)

dawner 专栏作者(9级)黎明已经过去，黑暗就在眼前！ 2014-12-02回复
@ 干掉你 技术总是在不断进步的，总会有成本和价值平衡的那天

亮了(5)

我是来捣乱的 2014-12-02回复3楼
密码基本已死

考虑信任设备提供的安全凭证，以前是retina,fingerprint,palm，什么的，现在可以考虑未破解越狱的手机/移动设备作为凭证，被盗了什么的，另说

亮了(3)

dawner 专栏作者(9级)黎明已经过去，黑暗就在眼前！ 2014-12-02回复
@ 我是来捣乱的 各种认证，找一个不可仿冒的认证感觉相对靠谱些。。

亮了(6)

liaoxj2046 (2级) 2014-12-03回复
@ dawner 比如像认证过的客户端证书，像网银登录用的U盾那类，就可以用来做安全登录。像这个网站就是用的安全证书登录https://login.wosign.com/login.html 跟密码比，安全系数高很多。

亮了(5)

huachishi (3级) 2014-12-02回复4楼
到底是要怎样。。。

亮了(5)

He1en的爸爸 2014-12-02回复5楼
生物密码是趋势

亮了(5)

dawner 专栏作者(9级)黎明已经过去，黑暗就在眼前！ 2014-12-02回复
@ He1en的爸爸 同意此观点。。

亮了(4)

鹿人饼 2014-12-02回复
@ dawner 到了生物密码时代数据库安全就变得至关重要了，一旦被窃或者泄露由于其唯一性真是亡羊补牢都不知从何处下手……

亮了(6)

liaoxj2046 (2级) 2014-12-03回复
@ 鹿人饼 目前的生物密码应用，也就用在电影里了，要普及给大众，还有段时间呢～

亮了(2)

terry2656590 (1级) 2014-12-02回复6楼
要在安全性和操作性中间找到一个平衡点，增加用户操作性有时候适得其反。

亮了(3)

dawner 专栏作者(9级)黎明已经过去，黑暗就在眼前！ 2014-12-02回复
@ terry2656590 对啊，一味地追求某个极端都不好

亮了(3)

kor1989 2014-12-02回复7楼
抛弃密码验证，采取其他方案。

亮了(3)

bilibili 2014-12-02回复8楼
弱弱的问一下：”用户名和密码就一定要加密密码吗？ “

————->>”那你觉得呢？“

亮了(1)

dawner 专栏作者(9级)黎明已经过去，黑暗就在眼前！ 2014-12-02回复
@ bilibili 感觉还是加下密放心些。。防止猪一样的队友。。

亮了(2)

小糊涂笙 2014-12-02回复9楼
合作打击恐怖分子是良策啊

亮了(2)

Lumia-ff 2014-12-02回复10楼
哈哈

亮了(0)

ncstc 2014-12-02回复11楼
好吧

亮了(0)

李铁军 2014-12-02回复12楼
双步验证成为必然之选，开通之后，密码简单或复杂都无所谓了。//: 酷

//:决定密码强度的因素包括复杂度和长度，而密码长度对于密码强度的影响更为明显，因此复杂密码不如长密码。之前我写了这篇文章来重新定义当前的密码安全标准（ ）

亮了(0)

王小馨馨xin 2014-12-02回复13楼
我要网购了拜拜

亮了(1)

iOSDever 2014-12-02回复14楼
对，我就说这个研究怪怪的，原来是离线//: 在线破解时密码复杂点还是有好处，当密码猜解多次错误时禁止此ip猜解效果更好。离线就没什么好说的了//:就国内的网络安全现状来说，增强密码的复杂程度还是有用的……当然，对明文保存密码的网站无效……

亮了(0)

Cyanlover 2014-12-02回复15楼
嗨，假呗儿没得我们也

亮了(0)

Arctic丶z 2014-12-02回复16楼
只要时间允许，当然任何强度的密码在暴力破解下都能够解开。但是并非所有人都有这样的设备与能力来进行破解。

亮了(0)

CAKETEASE 2014-12-03回复17楼
就是咯挖鼻屎

亮了(0)

Hundred_Lee 2014-12-03回复18楼
拜拜

去屎吧

亮了(1)

whitemonty (4级)这家伙很懒，就是不肯写个人说明！ 2014-12-04回复19楼
吓得我把密码改回123456

亮了(33)

凌伟同学 (1级) 2014-12-04回复20楼
话说题主知道10亿次的10亿次猜解较好的CPU大概要跑多久么

亮了(0)

不愿透露性别的王先生 2014-12-05回复21楼
我想把密码改成:灪麣鸾鹂鲡驫饢籱癵爨,要怎么操作呢?急急急!!!在线等.

亮了(4)

玩水族网 2014-12-27回复22楼
我感觉 应该用中文当做密码~应该不错

亮了(0)

Little Monk (1级) 2015-01-09回复23楼
密码的次数限制怎么破，还有qq如何暴力破解

亮了(0)

holycake (1级) 2015-05-23回复24楼
斷章取義以達到嘩眾取寵的目的嗎……在硬件設備越來越發達的當下離線破解自然較容易，不過仍需要很大量的時間和硬件成本。

亮了(0)

HundredLee 2014-12-03回复25楼
拜拜

去屎吧

亮了(0)

ebiann 2014-12-03回复26楼
就是咯挖鼻屎

亮了(0)
昵称
请输入昵称
必须您当前尚未登录。登录？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我
dawner
dawner专栏作者

黎明已经过去，黑暗就在眼前！

289
文章数
421
评论数
3
关注者

关注
最近文章
celery超时机制小结
2019.10.14

浅谈Git监控平台
2019.07.30

浅谈安全运维优化
2019.07.19

浏览更多
相关阅读
安全应急响应 | 如何从内核中直接获取隐藏的进程信息博彩巨头BetVictor泄露了自己内部系统的密码列表44CON议题《攻击 VxWorks：从石器时代到星际》探究ATBroker.exe：一个被病毒利用的微软进程利用Flash漏洞病毒分析报告
推荐关注

官方公众号

聚焦企业安全

官方QQ群 FreeBuf官方微博
文章目录

活动预告
3月

纯实战化攻防教学 | 玩转黑客操作系统Blackarch
已结束
3月

合规、技术、实践，从隐私保护走向数据安全
已结束
3月

冠军选手帮你把CTF知识点各个击破
已结束
3月

CTF之web安全入门
已结束

本站由阿里云 提供计算与安全服务

官方QQ群：590717869

用户服务有奖投稿申请专栏提交漏洞参与众测商城企业服务甲方会员厂商会员企业空间企业SRC漏洞众测智能安全合作信息寻求报道广告投放联系我们友情链接关于我们关于我们加入我们
微信公众号
新浪微博赞助商
FreeBuf+小程序
扫码把安全装进口袋

斗象科技FreeBuf漏洞盒子斗象智能安全平台免责条款协议条款Copyright © 2020 WWW.FREEBUF.COM All Rights Reserved 沪公网安备 31011502009321号
css.php正在加载中...0daybank