日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢(xún)
選擇下列產(chǎn)品馬上在線(xiàn)溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案
密碼重用的問(wèn)題為啥一直屢教不改?

這些年來(lái)發(fā)生的重大用戶(hù)隱私泄漏事件,就其根源,有一半的原因要?dú)w咎于用戶(hù)本身,其中最常見(jiàn)的就是密碼設(shè)置太簡(jiǎn)單。為此,很多供應(yīng)商和機(jī)構(gòu)都強(qiáng)制用戶(hù)設(shè)置更復(fù)雜的密碼。但即便如此,密碼設(shè)置方面的漏洞還是攻擊者最喜歡的攻擊入口點(diǎn),這其中最常見(jiàn)的問(wèn)題就是密碼重用。有用戶(hù)覺(jué)得,對(duì)于不同的賬戶(hù),我會(huì)將用過(guò)的密碼進(jìn)行一些細(xì)微的改變,這樣是不是就安全了?經(jīng)過(guò)實(shí)際測(cè)試,這些只經(jīng)過(guò)細(xì)微更改的密碼,都算是密碼重用。

網(wǎng)站建設(shè)哪家好,找成都創(chuàng)新互聯(lián)!專(zhuān)注于網(wǎng)頁(yè)設(shè)計(jì)、網(wǎng)站建設(shè)、微信開(kāi)發(fā)、小程序設(shè)計(jì)、集團(tuán)企業(yè)網(wǎng)站建設(shè)等服務(wù)項(xiàng)目。為回饋新老客戶(hù)創(chuàng)新互聯(lián)還提供了定陶免費(fèi)建站歡迎大家使用!

那問(wèn)題就來(lái)了,既然密碼管理器現(xiàn)在隨手可用,那為什么密碼重用問(wèn)題還是如此突出呢?其原因在上面已經(jīng)說(shuō)了,對(duì)于不同的帳戶(hù),用戶(hù)總愛(ài)用相似的密碼,因?yàn)檫@樣好記,另外就是很過(guò)用戶(hù)覺(jué)得使用密碼管理器太麻煩。但是在當(dāng)今的網(wǎng)絡(luò)世界中,密碼重用的使用率非常驚人。所以,我們建議你使用密碼管理器,這有助于減少密碼重用,提高安全性。在本文中,我們將對(duì)一些最常見(jiàn)的密碼管理器進(jìn)行安全和實(shí)用性分析,說(shuō)不定其中有你最喜歡的一個(gè)。

重用密碼絕對(duì)不要再用

重大黑客和安全漏洞一直在發(fā)生,毫無(wú)疑問(wèn),黑客正在使用先前收集的密碼數(shù)據(jù)庫(kù)來(lái)嘗試?yán)酶鞣N網(wǎng)絡(luò)資源。密碼重用是造成這些黑客能成功攻擊的主要原因,收集了一個(gè)密碼數(shù)據(jù)庫(kù)后,黑客可以迅速?lài)L試在其他資源上盜用帳戶(hù)憑據(jù)。通過(guò)僵尸網(wǎng)絡(luò)實(shí)施的這些攻擊可能不會(huì)觸發(fā)安全警告,即使帳戶(hù)已被盜用也是如此。

多家機(jī)構(gòu)的研究表明,幾年前,使用不同服務(wù)的用戶(hù)帳戶(hù)之間的密碼重用率至少為31%。如今,普通用戶(hù)使用的網(wǎng)絡(luò)帳戶(hù)數(shù)量已大大增加,這導(dǎo)致重用密碼的情況嚴(yán)重增加。最近的報(bào)告表明,大約59%的用戶(hù)在許多不同的網(wǎng)絡(luò)服務(wù)中都存在著重復(fù)使用密碼的情況。如果結(jié)果是按著使用相似密碼來(lái)計(jì)算,則該比例可能會(huì)更高。

這些數(shù)字實(shí)際上意味著什么,你知道嗎?這意味著,如果一個(gè)用戶(hù)擁有20個(gè)網(wǎng)絡(luò)帳戶(hù),則僅他只使用了7個(gè)密碼。在這7個(gè)密碼中,有3個(gè)是獨(dú)立的,而剩余的 “不同”密碼看起來(lái)很相似。我們觀察到的最常見(jiàn)的行為模式之一是將給定的網(wǎng)站或資源所需的數(shù)字和特殊字符的數(shù)量附加到密碼的末尾。因此,“不同”的密碼列表可能包括簡(jiǎn)單的變體,如password1、password123、password1 $等。在調(diào)查過(guò)程中,這些模式很容易被發(fā)現(xiàn)和利用。

密碼重用和計(jì)算機(jī)取證

盡管密碼重用不利于安全性,使黑客能夠快速攻擊多種服務(wù),但對(duì)于計(jì)算機(jī)取證而言卻是一大福音。通過(guò)獲取密碼列表,專(zhuān)家可以確定一個(gè)用來(lái)取證的通用模式,這種模式反過(guò)來(lái)又使他們能夠構(gòu)建所謂的基于掩碼的攻擊?;谘诖a的攻擊允許指定用戶(hù)的所有或大部分密碼都具有的共同點(diǎn),從而減少了要嘗試的密碼數(shù)量。

例如,使用Elcomsoft Distributed Password Recovery工具可以大大緩解基于掩碼的攻擊。在在此之前,讓我們看看這些密碼有什么共同點(diǎn):

  • password
  • Password$
  • password1
  • Password12
  • Password5678
  • Password123$

如上所示,所有這些密碼都是基于一個(gè)關(guān)鍵字“password”,它可能以大寫(xiě)“P”開(kāi)頭,也可能以小寫(xiě)“P”開(kāi)頭。關(guān)鍵字后面可以跟或不跟最多包含4位數(shù)字的密碼,后面可以跟也可以不跟一個(gè)特殊字符這是一個(gè)非常現(xiàn)實(shí)的場(chǎng)景,即用戶(hù)嘗試使用盡可能簡(jiǎn)單的密碼。但是,如果安全策略強(qiáng)制使用一定數(shù)量的大寫(xiě)字母、數(shù)字和特殊字符,則用戶(hù)只需將它們添加到密碼的末尾即可。在EDPR 4.20(雷神分布式破解系統(tǒng)免費(fèi)版)中,你可以使用一個(gè)簡(jiǎn)單的掩碼,如下所示:

 
 
 
 
    
  
  
  
  
  1. ?0assword?1(0-4)?2(0-1)
    2. 
  
  
  
  
  2. 
  
  
  
  
  3. character group ?0: Pp
    4. 
  
  
  
  
  4. character group ?1: digits
    5. 
  
  
  
  
  5. character group ?2: special symbols
    6.

下面這些密碼有什么共同之處呢?

  • andy1980
  • apple1$
  • mary1968
  • hopeful1
  • wardrobe
  • monitor$

所有這些密碼均基于單個(gè)字典單詞,該單詞以小寫(xiě)字母開(kāi)頭,該字母可以或不可以跟一個(gè)包含最多4位數(shù)字的數(shù)字,該數(shù)字可以或可以不跟一個(gè)特殊字符。如果你使用的是較舊版本的Elcomsoft Distributed Password Recovery,則必須構(gòu)建一種非常復(fù)雜的混合攻擊來(lái)解決所有這些密碼變體,而EDPR 4.20則可以使它變得非常簡(jiǎn)單:

 
 
 
 
    
  
  
  
  
  1. ?w[mydic.udic]?0(0-4)?1(0-1)
    2. 
  
  
  
  
  2. 
  
  
  
  
  3. character group ?0: digits
    4. 
  
  
  
  
  4. character group ?1: special symbols
    5.

現(xiàn)在,如果用戶(hù)擁有一套稍微復(fù)雜一些的密碼,該怎么辦?

  • Andy1980
  • Apple1$
  • mary1968
  • hopeful1
  • wardrobe
  • monitor$

這些密碼與前一種情況類(lèi)似,都是基于一個(gè)字典單詞,這個(gè)單詞后面可能有或沒(méi)有一個(gè)包含最多4位數(shù)字的數(shù)字,后面可能有或沒(méi)有一個(gè)特殊字符。然而,這次這個(gè)單詞可能以大寫(xiě)字母開(kāi)頭,也可能不以大寫(xiě)字母開(kāi)頭。

密碼管理器介紹

1Password,Dashlane,KeePass和LastPass是四個(gè)最受歡迎的密碼管理器。密碼管理器存儲(chǔ)、管理和同步用戶(hù)密碼以及其他敏感數(shù)據(jù)。密碼管理器經(jīng)過(guò)明確設(shè)計(jì),旨在減輕密碼重用問(wèn)題,提供生成、存儲(chǔ)和使用真正唯一且不可重用的密碼的功能。

典型的密碼管理器會(huì)將所有密碼保存在數(shù)據(jù)庫(kù)中,數(shù)據(jù)庫(kù)使用主密碼進(jìn)行加密保護(hù),并存儲(chǔ)在本地或云中。密碼管理器同時(shí)支持臺(tái)式機(jī)和移動(dòng)設(shè)備,并采用強(qiáng)加密技術(shù)來(lái)保護(hù)對(duì)密碼數(shù)據(jù)庫(kù)的訪(fǎng)問(wèn)。

值得注意的是,整個(gè)密碼數(shù)據(jù)庫(kù)通常受一個(gè)主密碼保護(hù),該密碼將解密并打開(kāi)所有存儲(chǔ)的密碼。

由于大多數(shù)用戶(hù)只使用他們的移動(dòng)設(shè)備來(lái)訪(fǎng)問(wèn)帳戶(hù)和打開(kāi)文檔,因此密碼管理器也可以在移動(dòng)平臺(tái)上使用。由于觸摸屏沒(méi)有物理鍵盤(pán),并且不能使用“學(xué)習(xí)進(jìn)程”來(lái)輸入復(fù)雜的密碼,這會(huì)導(dǎo)致經(jīng)常選擇在移動(dòng)設(shè)備上解鎖其密碼庫(kù)的用戶(hù)選擇更簡(jiǎn)單的主密碼。Touch ID或Face ID確實(shí)有助于避免輸入主密碼,但仍然需要不時(shí)使用主密碼進(jìn)行身份驗(yàn)證。

1Password是由AgileBits于2006年開(kāi)發(fā)的,此密碼管理器支持Windows、macOS、iOS和Android平臺(tái)。該數(shù)據(jù)庫(kù)可以存儲(chǔ)在本地,Dropbox或iCloud中,該數(shù)據(jù)庫(kù)包含在iTunes備份和iCloud備份中。

LastPass是2008年由Marvasol公司(后來(lái)被LogMeIn收購(gòu))推出的,LastPass還支持Windows、macOS、iOS和Android平臺(tái)。此外,LastPass可以作為瀏覽器擴(kuò)展安裝在許多流行的瀏覽器中。密碼通過(guò)LastPass服務(wù)器同步。除了桌面版本,密碼數(shù)據(jù)庫(kù)還可以從瀏覽器擴(kuò)展和Android設(shè)備中獲得。

Dashlane是Dashlane在2012年開(kāi)發(fā)的,它還支持Windows、macOS、iOS和Android。密碼通過(guò)Dashlane服務(wù)器同步,密碼數(shù)據(jù)庫(kù)只能通過(guò)文件系統(tǒng)提取從計(jì)算機(jī)或移動(dòng)設(shè)備獲取。

KeePass是一個(gè)開(kāi)源應(yīng)用程序,它的本地構(gòu)建只適用于Windows,所有主要的臺(tái)式機(jī)和移動(dòng)平臺(tái)都有大量的第三方端口。KeePass不提供備份或同步選項(xiàng),數(shù)據(jù)庫(kù)可以從本地臺(tái)式機(jī)或通過(guò)移動(dòng)設(shè)備的文件系統(tǒng)提取來(lái)獲取。

正如我前面提到的,密碼管理器將密碼存儲(chǔ)在本地?cái)?shù)據(jù)庫(kù)中。這些數(shù)據(jù)庫(kù)可以使用一個(gè)主密碼進(jìn)行加密。由于信息的敏感性,這種保護(hù)通常非常強(qiáng)大,可以承受高性能的暴利攻擊。但是,許多密碼管理器針對(duì)其應(yīng)用程序和插件中的不同數(shù)據(jù)庫(kù)采用不同的保護(hù)設(shè)置。 Windows桌面應(yīng)用程序通常會(huì)提供最強(qiáng)的保護(hù),而Android應(yīng)用程序?qū)⑹褂米钊醯谋Wo(hù)。一些密碼管理器使用自適應(yīng)保護(hù)強(qiáng)度,該強(qiáng)度取決于特定設(shè)備的運(yùn)行性能。

無(wú)論哪種方式,在攻擊密碼管理器數(shù)據(jù)庫(kù)時(shí)都必須使用GPU輔助攻擊,最新版本的 Elcomsoft Distributed Password Recovery 可以利用GPU加速來(lái)加快對(duì)用主密碼加密的1Password,Dashlane,KeePass和LastPass數(shù)據(jù)庫(kù)的攻擊。以下基準(zhǔn)測(cè)試演示了對(duì)從1Password,Dashlane,KeePass和LastPass的相應(yīng)Windows桌面應(yīng)用程序提取的本地?cái)?shù)據(jù)庫(kù)的攻擊性能:

如果你對(duì)不同密碼管理器的基準(zhǔn)值感到困惑,那是因?yàn)樗鼈兞钊死Щ?。不過(guò),密碼管理器在不同環(huán)境中確實(shí)采用了不同的保護(hù)設(shè)置。例如,如果我們使用了1Password,則恢復(fù)速度取決于哈希算法(SHA-1,SHA-256或SHA-512)和迭代次數(shù)。桌面Windows應(yīng)用程序支持SHA-512,它的散列輪數(shù)似乎是隨機(jī)的,散列輪數(shù)是根據(jù)特定計(jì)算機(jī)的性能和其他一些特性單獨(dú)計(jì)算的,這是為了確保沒(méi)有延遲地打開(kāi)密碼數(shù)據(jù)庫(kù)。這意味著,攻擊的速度隨著迭代次數(shù)的增加而下降。出于這個(gè)原因,1Password的基準(zhǔn)看起來(lái)可能非?;靵y。

使用唯一的密碼是不夠的

即使每個(gè)網(wǎng)絡(luò)帳戶(hù)都使用唯一的隨機(jī)密碼,這也不足以確保網(wǎng)絡(luò)的安全。 如果用戶(hù)使用一個(gè)“通用”電子郵件帳戶(hù),如攻擊者使用被攻擊的雅虎郵件不僅能夠訪(fǎng)問(wèn)存儲(chǔ)在該帳戶(hù)中的歷史電子郵件消息,而且還可以請(qǐng)求用該電子郵件地址注冊(cè)的其他帳戶(hù)的密碼重置。至于是哪個(gè)帳戶(hù)? 通過(guò)分析用戶(hù)的電子郵件歷史記錄,則很容易猜到。 攻擊者使用一個(gè)遭到入侵的Google帳戶(hù)就可以得到存儲(chǔ)的密碼,從而訪(fǎng)問(wèn)用戶(hù)的整個(gè)數(shù)字世界的生活軌跡。 同樣,受攻擊的Apple和Microsoft帳戶(hù)也會(huì)導(dǎo)致類(lèi)似的后果。 因此,我們?cè)僭趺磸?qiáng)調(diào)雙因素身份驗(yàn)證的重要性也不為過(guò)。我們認(rèn)為,任何蘋(píng)果ID、谷歌賬戶(hù)、Facebook或微軟賬戶(hù)都必須經(jīng)過(guò)雙因素身份驗(yàn)證才保險(xiǎn)。


當(dāng)前名稱(chēng):密碼重用的問(wèn)題為啥一直屢教不改?
標(biāo)題URL:http://www.5511xx.com/article/dhipddp.html