0
  • 聊天消息
  • 系統(tǒng)消息
  • 評論與回復
登錄后你可以
  • 下載海量資料
  • 學習在線課程
  • 觀看技術視頻
  • 寫文章/發(fā)帖/加入社區(qū)
會員中心
創(chuàng)作中心

完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

3天內不再提示

詳談重用密碼的危害和密碼管理器

如意 ? 來源:嘶吼網(wǎng) ? 作者:gejigej ? 2020-07-02 14:58 ? 次閱讀

這些年來發(fā)生的重大用戶隱私泄漏事件,就其根源,有一半的原因要歸咎于用戶本身,其中最常見的就是密碼設置太簡單。為此,很多供應商和機構都強制用戶設置更復雜的密碼。但即便如此,密碼設置方面的漏洞還是攻擊者最喜歡的攻擊入口點,這其中最常見的問題就是密碼重用。有用戶覺得,對于不同的賬戶,我會將用過的密碼進行一些細微的改變,這樣是不是就安全了?經(jīng)過實際測試,這些只經(jīng)過細微更改的密碼,都算是密碼重用。

那問題就來了,既然密碼管理器現(xiàn)在隨手可用,那為什么密碼重用問題還是如此突出呢?其原因在上面已經(jīng)說了,對于不同的帳戶,用戶總愛用相似的密碼,因為這樣好記,另外就是很過用戶覺得使用密碼管理器太麻煩。但是在當今的網(wǎng)絡世界中,密碼重用的使用率非常驚人。所以,我們建議你使用密碼管理器,這有助于減少密碼重用,提高安全性。在本文中,我們將對一些最常見的密碼管理器進行安全和實用性分析,說不定其中有你最喜歡的一個。

重用密碼絕對不要再用

重大黑客和安全漏洞一直在發(fā)生,毫無疑問,黑客正在使用先前收集的密碼數(shù)據(jù)庫來嘗試利用各種網(wǎng)絡資源。密碼重用是造成這些黑客能成功攻擊的主要原因,收集了一個密碼數(shù)據(jù)庫后,黑客可以迅速嘗試在其他資源上盜用帳戶憑據(jù)。通過僵尸網(wǎng)絡實施的這些攻擊可能不會觸發(fā)安全警告,即使帳戶已被盜用也是如此。

多家機構的研究表明,幾年前,使用不同服務的用戶帳戶之間的密碼重用率至少為31%。如今,普通用戶使用的網(wǎng)絡帳戶數(shù)量已大大增加,這導致重用密碼的情況嚴重增加。最近的報告表明,大約59%的用戶在許多不同的網(wǎng)絡服務中都存在著重復使用密碼的情況。如果結果是按著使用相似密碼來計算,則該比例可能會更高。

這些數(shù)字實際上意味著什么,你知道嗎?這意味著,如果一個用戶擁有20個網(wǎng)絡帳戶,則僅他只使用了7個密碼。在這7個密碼中,有3個是獨立的,而剩余的 “不同”密碼看起來很相似。我們觀察到的最常見的行為模式之一是將給定的網(wǎng)站或資源所需的數(shù)字和特殊字符的數(shù)量附加到密碼的末尾。因此,“不同”的密碼列表可能包括簡單的變體,如password1、password123、password1 $等。在調查過程中,這些模式很容易被發(fā)現(xiàn)和利用。

密碼重用和計算機取證

盡管密碼重用不利于安全性,使黑客能夠快速攻擊多種服務,但對于計算機取證而言卻是一大福音。通過獲取密碼列表,專家可以確定一個用來取證的通用模式,這種模式反過來又使他們能夠構建所謂的基于掩碼的攻擊?;谘诖a的攻擊允許指定用戶的所有或大部分密碼都具有的共同點,從而減少了要嘗試的密碼數(shù)量。

例如,使用Elcomsoft Distributed Password Recovery工具可以大大緩解基于掩碼的攻擊。在在此之前,讓我們看看這些密碼有什么共同點:

password

Password$

password1

Password12

Password5678

Password123$

如上所示,所有這些密碼都是基于一個關鍵字“password”,它可能以大寫“P”開頭,也可能以小寫“P”開頭。關鍵字后面可以跟或不跟最多包含4位數(shù)字的密碼,后面可以跟也可以不跟一個特殊字符這是一個非?,F(xiàn)實的場景,即用戶嘗試使用盡可能簡單的密碼。但是,如果安全策略強制使用一定數(shù)量的大寫字母、數(shù)字和特殊字符,則用戶只需將它們添加到密碼的末尾即可。在EDPR 4.20(雷神分布式破解系統(tǒng)免費版)中,你可以使用一個簡單的掩碼,如下所示:

詳談重用密碼的危害和密碼管理器

詳談重用密碼的危害和密碼管理器

下面這些密碼有什么共同之處呢?

andy1980

apple1$

mary1968

hopeful1

wardrobe

monitor$

所有這些密碼均基于單個字典單詞,該單詞以小寫字母開頭,該字母可以或不可以跟一個包含最多4位數(shù)字的數(shù)字,該數(shù)字可以或可以不跟一個特殊字符。如果你使用的是較舊版本的Elcomsoft Distributed Password Recovery,則必須構建一種非常復雜的混合攻擊來解決所有這些密碼變體,而EDPR 4.20則可以使它變得非常簡單:

詳談重用密碼的危害和密碼管理器

詳談重用密碼的危害和密碼管理器

現(xiàn)在,如果用戶擁有一套稍微復雜一些的密碼,該怎么辦?

Andy1980

Apple1$

mary1968

hopeful1

wardrobe

monitor$

這些密碼與前一種情況類似,都是基于一個字典單詞,這個單詞后面可能有或沒有一個包含最多4位數(shù)字的數(shù)字,后面可能有或沒有一個特殊字符。然而,這次這個單詞可能以大寫字母開頭,也可能不以大寫字母開頭。

密碼管理器介紹

1Password,Dashlane,KeePass和LastPass是四個最受歡迎的密碼管理器。密碼管理器存儲、管理和同步用戶密碼以及其他敏感數(shù)據(jù)。密碼管理器經(jīng)過明確設計,旨在減輕密碼重用問題,提供生成、存儲和使用真正唯一且不可重用的密碼的功能。

典型的密碼管理器會將所有密碼保存在數(shù)據(jù)庫中,數(shù)據(jù)庫使用主密碼進行加密保護,并存儲在本地或云中。密碼管理器同時支持臺式機和移動設備,并采用強加密技術來保護對密碼數(shù)據(jù)庫的訪問。

值得注意的是,整個密碼數(shù)據(jù)庫通常受一個主密碼保護,該密碼將解密并打開所有存儲的密碼。

由于大多數(shù)用戶只使用他們的移動設備來訪問帳戶和打開文檔,因此密碼管理器也可以在移動平臺上使用。由于觸摸屏沒有物理鍵盤,并且不能使用“學習進程”來輸入復雜的密碼,這會導致經(jīng)常選擇在移動設備上解鎖其密碼庫的用戶選擇更簡單的主密碼。Touch ID或Face ID確實有助于避免輸入主密碼,但仍然需要不時使用主密碼進行身份驗證。

1Password是由AgileBits于2006年開發(fā)的,此密碼管理器支持Windows、macOS、iOSAndroid平臺。該數(shù)據(jù)庫可以存儲在本地,Dropbox或iCloud中,該數(shù)據(jù)庫包含在iTunes備份和iCloud備份中。

LastPass是2008年由Marvasol公司(后來被LogMeIn收購)推出的,LastPass還支持Windows、macOS、iOS和Android平臺。此外,LastPass可以作為瀏覽器擴展安裝在許多流行的瀏覽器中。密碼通過LastPass服務器同步。除了桌面版本,密碼數(shù)據(jù)庫還可以從瀏覽器擴展和Android設備中獲得。

Dashlane是Dashlane在2012年開發(fā)的,它還支持Windows、macOS、iOS和Android。密碼通過Dashlane服務器同步,密碼數(shù)據(jù)庫只能通過文件系統(tǒng)提取從計算機或移動設備獲取。

KeePass是一個開源應用程序,它的本地構建只適用于Windows,所有主要的臺式機和移動平臺都有大量的第三方端口。KeePass不提供備份或同步選項,數(shù)據(jù)庫可以從本地臺式機或通過移動設備的文件系統(tǒng)提取來獲取。

正如我前面提到的,密碼管理器將密碼存儲在本地數(shù)據(jù)庫中。這些數(shù)據(jù)庫可以使用一個主密碼進行加密。由于信息的敏感性,這種保護通常非常強大,可以承受高性能的暴利攻擊。但是,許多密碼管理器針對其應用程序和插件中的不同數(shù)據(jù)庫采用不同的保護設置。 Windows桌面應用程序通常會提供最強的保護,而Android應用程序將使用最弱的保護。一些密碼管理器使用自適應保護強度,該強度取決于特定設備的運行性能。

無論哪種方式,在攻擊密碼管理器數(shù)據(jù)庫時都必須使用GPU輔助攻擊,最新版本的 Elcomsoft Distributed Password Recovery 可以利用GPU加速來加快對用主密碼加密的1Password,Dashlane,KeePass和LastPass數(shù)據(jù)庫的攻擊。以下基準測試演示了對從1Password,Dashlane,KeePass和LastPass的相應Windows桌面應用程序提取的本地數(shù)據(jù)庫的攻擊性能:

詳談重用密碼的危害和密碼管理器

如果你對不同密碼管理器的基準值感到困惑,那是因為它們令人困惑。不過,密碼管理器在不同環(huán)境中確實采用了不同的保護設置。例如,如果我們使用了1Password,則恢復速度取決于哈希算法(SHA-1,SHA-256或SHA-512)和迭代次數(shù)。桌面Windows應用程序支持SHA-512,它的散列輪數(shù)似乎是隨機的,散列輪數(shù)是根據(jù)特定計算機的性能和其他一些特性單獨計算的,這是為了確保沒有延遲地打開密碼數(shù)據(jù)庫。這意味著,攻擊的速度隨著迭代次數(shù)的增加而下降。出于這個原因,1Password的基準看起來可能非?;靵y。

使用唯一的密碼是不夠的

即使每個網(wǎng)絡帳戶都使用唯一的隨機密碼,這也不足以確保網(wǎng)絡的安全。 如果用戶使用一個“通用”電子郵件帳戶,如攻擊者使用被攻擊的雅虎郵件不僅能夠訪問存儲在該帳戶中的歷史電子郵件消息,而且還可以請求用該電子郵件地址注冊的其他帳戶的密碼重置。至于是哪個帳戶? 通過分析用戶的電子郵件歷史記錄,則很容易猜到。 攻擊者使用一個遭到入侵的Google帳戶就可以得到存儲的密碼,從而訪問用戶的整個數(shù)字世界的生活軌跡。 同樣,受攻擊的Apple和Microsoft帳戶也會導致類似的后果。 因此,我們再怎么強調雙因素身份驗證的重要性也不為過。我們認為,任何蘋果ID、谷歌賬戶、Facebook或微軟賬戶都必須經(jīng)過雙因素身份驗證才保險。

聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權轉載。文章觀點僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規(guī)問題,請聯(lián)系本站處理。 舉報投訴
  • 密碼
    +關注

    關注

    8

    文章

    191

    瀏覽量

    30500
  • 密碼破解
    +關注

    關注

    1

    文章

    10

    瀏覽量

    8414
  • 安全漏洞
    +關注

    關注

    0

    文章

    151

    瀏覽量

    16715
收藏 人收藏

    評論

    相關推薦

    無線信號探測:如何捕捉空氣中的信號密碼

    深圳放大器|無線信號探測:如何捕捉空氣中的信號密碼
    的頭像 發(fā)表于 12-25 09:05 ?42次閱讀

    NAS重置密碼攻略來襲,讓你告別‘密碼焦慮’!

    你是否曾遇到過這樣的尷尬場景:當你登錄某個賬號時,突然發(fā)現(xiàn)自己的腦子像是被格式化了一樣,一片空白。好不容易憑感覺輸入了幾組可能的密碼組合,結果系統(tǒng)無情地吐出了“密碼錯誤”的提示。 更讓人抓狂
    的頭像 發(fā)表于 12-11 15:29 ?175次閱讀
    NAS重置<b class='flag-5'>密碼</b>攻略來襲,讓你告別‘<b class='flag-5'>密碼</b>焦慮’!

    Linux系統(tǒng)設置用戶密碼規(guī)則(復雜密碼策略)方法

    Linux系統(tǒng)下的用戶密碼的有效期 可以修改密碼可以通過login.defs文件控制。設置密碼過期期限(默認情況下,用戶的密碼永不過期。) 編輯 /etc/login.defs 文件,
    的頭像 發(fā)表于 12-07 09:24 ?284次閱讀

    艾體寶洞察 一文讀懂最新密碼存儲方法,揭秘密碼存儲常見誤區(qū)!

    本篇文章將引入并介紹密碼存儲中的基石,關于密碼哈希、鹽加密(Salting)、密鑰派生函數(shù)(KDF)的原理及其應用,揭示密碼存儲中的常見誤區(qū),并分享一系列安全實踐。
    的頭像 發(fā)表于 09-14 17:37 ?361次閱讀
    艾體寶洞察 一文讀懂最新<b class='flag-5'>密碼</b>存儲方法,揭秘<b class='flag-5'>密碼</b>存儲常見誤區(qū)!

    恩智浦半導體獲得商用密碼安全芯片產(chǎn)品認證證書

    恩智浦半導體宣布,其安全NFC解決方案 SN300獲得國家密碼管理局商用密碼檢測中心(以下簡稱商用密碼檢測中心)頒發(fā)的商用密碼安全芯片產(chǎn)品認
    的頭像 發(fā)表于 08-27 09:16 ?1140次閱讀

    MySQL忘記root密碼解決方案

    mysql登錄密碼為password()算法加密,解密成本太高,以下為通用方案; 原理:mysql提供了特殊啟動方式,即跳過權限表驗證,啟動后,登錄不需要提供密碼; 登錄后,即可修改mysql數(shù)據(jù)庫的user表,重置密碼
    的頭像 發(fā)表于 04-23 16:08 ?704次閱讀

    微軟Edge瀏覽Canary頻道測試密碼管理新功能

    在此之前,用戶使用Edge登錄某網(wǎng)站后,瀏覽會彈出提示詢問是否保存密碼。下次再訪問時,Edge會自動調用已保存的密碼,完成賬號和密碼的填寫。
    的頭像 發(fā)表于 04-18 10:02 ?529次閱讀

    華潤微電子LX100安全MCU芯片產(chǎn)品榮獲商用密碼產(chǎn)品二級認證

    近日,華潤微電子集成電路(無錫)有限公司LX100安全MCU芯片產(chǎn)品通過國家密碼管理局商用密碼檢測中心安全性審查,符合安全芯片密碼檢測準則第二級的要求(簡稱“國密二級”),獲得由國家
    的頭像 發(fā)表于 04-11 14:40 ?1480次閱讀
    華潤微電子LX100安全MCU芯片產(chǎn)品榮獲商用<b class='flag-5'>密碼</b>產(chǎn)品二級認證

    龍芯瀏覽V3通過《商用密碼產(chǎn)品認證證書》二級認證

    近日,龍芯瀏覽的最新版本V3獲得國家密碼管理局商用密碼檢測中心頒發(fā)的《商用密碼產(chǎn)品認證證書》二級認證,標志著該產(chǎn)品在安全能力和應用水準方面
    的頭像 發(fā)表于 04-07 14:20 ?743次閱讀
    龍芯瀏覽<b class='flag-5'>器</b>V3通過《商用<b class='flag-5'>密碼</b>產(chǎn)品認證證書》二級認證

    安卓版Chrome瀏覽現(xiàn)已支持第三方密碼管理器調用

    據(jù)報道,數(shù)據(jù)解析專家Leppeva64近日在安卓版谷歌Chrome瀏覽的源代碼中透露,該瀏覽已在安卓平臺上實現(xiàn)了對第三方密碼管理器的調用支持,并覆蓋Stable、Beta及Cana
    的頭像 發(fā)表于 03-19 11:04 ?711次閱讀

    智芯公司PCI-E密碼卡取得國密局商用密碼產(chǎn)品認證證書

    近日,智芯公司自主研發(fā)的PCI-E密碼卡順利通過國家密碼管理局商用密碼檢測中心產(chǎn)品檢測,取得商用密碼產(chǎn)品認證證書,標志著智芯公司網(wǎng)絡安全核心
    的頭像 發(fā)表于 03-08 14:10 ?1053次閱讀
    智芯公司PCI-E<b class='flag-5'>密碼</b>卡取得國密局商用<b class='flag-5'>密碼</b>產(chǎn)品認證證書

    典型密碼鎖電路圖分享

    密碼鎖是一種通過輸入密碼來解鎖或上鎖的安全鎖具。它廣泛應用于各種場合,如家庭、酒店、公寓、商業(yè)場所等,以保護個人和物品的安全。
    的頭像 發(fā)表于 02-18 14:49 ?4979次閱讀
    典型<b class='flag-5'>密碼</b>鎖電路圖分享

    蘋果手機id密碼在哪里找 蘋果手機id密碼忘記了怎么辦

    蘋果手機id密碼在哪里找 蘋果手機id密碼忘記了怎么辦? 蘋果手機id密碼在哪里找,若蘋果手機id密碼忘記了,可以通過以下幾種方法來解決這個問題。 1. 使用Apple ID找回
    的頭像 發(fā)表于 02-18 13:42 ?2183次閱讀

    寶塔面板修改服務密碼怎么設置?

    寶塔面板是一種用于服務管理的Web面板,允許用戶通過圖形用戶界面輕松管理服務。如果你想修改服務密碼
    的頭像 發(fā)表于 01-24 17:27 ?1114次閱讀

    MySQL密碼忘記了怎么辦?MySQL密碼快速重置方法步驟命令示例!

    MySQL密碼忘記了怎么辦?MySQL密碼快速重置方法步驟命令示例! MySQL是一種常用的關系型數(shù)據(jù)庫管理系統(tǒng),如果你忘記了MySQL的密碼,不必擔心,可以通過一些簡單的步驟來快速重
    的頭像 發(fā)表于 01-12 16:06 ?752次閱讀