没有谁能够永远坚强下去的,每个人都会有疲累的无法站起的时候。世间的故事,就是为了这一刻而存在的哦。 收藏本站
登陆 / 注册 搜索

阅读: 11.4K   回复: 3

[# 网络基础] 暴力破解——在线和离线猜解的不同

小执念 古黑浩劫论坛大牛 2015-11-22 22:50 |显示全部楼层

可遇不可求的事:故乡的云,上古的玉,随手的诗,十九岁的你。

管理员
   在当前以及可预见的未来,密码是主要的在线身份验证方法。密码最讨厌的特性之一就是对密码最小长度、字母大小写、数字及特殊字符的复杂性要求。然 而,微软研究院的一份最新研究报告显示,大部分的复杂性努力都是徒劳的。在本文中,我们将解释一下微软的研究成果,然后再看看两个最新提出的解决方案是如何达到更好的密码安全的。
6 q1 B2 n; |* J3 |+ Q) }" q
2 w3 X0 s) G9 Y& N* C. c
暴力破解——在线和离线猜解的不同 QQ截图20151122224846.png - I5 X, \0 R4 _0 n2 _
, Q7 S- `4 a% k
  密码需要足够的强度才能够抵抗尝试性攻击,即通常所说的“暴力破解”。暴力破解有两种模式:/ v) Y. m  c+ g3 Z

  n, s9 m$ [' f! v4 e. _$ I- x$ }1 K
! u% g/ ^' F) O8 [% |
  在线模式,攻击者必须使用和用户应用程序相同的登录入口;与在线模式相对的是离线模式,攻击者需要首先窃取密码文件,但能够进行不受约束的破解尝试,并且没有应用程序和网络 的破解速度限制(即单位时间内允许口令输入次数的限制)。6 ^& u* p7 k3 Y1 H. I, Q/ f4 n6 O

* g* x" M3 q# P) [
/ n, d! G3 M- ?: C0 j+ d4 s
  微软研究人员发现,“应对在线攻击和离线攻击所付出的努力有着巨大的差异。在线模式下,一个可以承受100万次猜解的密码,与离线模式下能够承受100万亿次猜解的密码,其安全性是一样的。”因此,一个可以承受100万次的破解并不复杂的密码,比如“tincan24”,和一个可以承受100万亿次破解的强密码“7Qr&2M”,其实区别不大。它们都足以应对在线破解,而在离线模式下,则可能双双被破解。但后者,则要难记得多。
7 G3 i  D% N, n+ N
$ F7 e/ }4 ?; l4 S$ V
  此外,通过分解需要离线破解保护的用例,研究人员发现,“当密码文件泄漏并未被察觉,而且密码进行过适当的SALT加密和HASH加密的情况下,离线破解才会构成威胁。但如果发现了泄漏,只需要重设系统密码,就可以将离线破解拒之门外。”; ]$ r' M; c4 X0 ?9 ^

0 V- l5 W$ ^+ N% G1 S   因此,将防止密码破解的层层重担放在用户身上,让用户解决应用程序的问题,是非常低效的,也是不道德的。只有通过在应用程序端解决密码文件泄漏问题,才可以解除离线破解风险,释放对用户密码复杂性的要求。
1 J2 p9 U6 _5 h- @9 n) q% Y8 F  l; N7 W3 |0 ]  u* a: k$ T
  为了防止密码文件对外泄漏,需要将密码限定在应用程序环境之内。微软报告中提到,最常见的解决方案是对每个密码进行加密,并将密钥存储在硬件安全模块(HSM)中。因为硬件安全模块不为存储在里面的加密密钥提供入口,密码的解密只能在应用程序环境内进行。
* T8 _% w; ~/ A. z, p, m

0 M) |7 e' u& t$ e. n  最近提出的其他两个关于此问题的创新解决方案:% c9 K1 x$ N3 _; b0 @7 f" o1 S. R
; L5 I  K. L, J3 [' w6 p1 t/ J
1、 在2014年的Derbycon安全大会上,本杰明·唐纳利和蒂姆·托姆斯展示了他们的“锁链”构架。“锁链”提供了一种方法,通过它可以人为地增大密码 文件大小并将密码数据安全地进行传播,使密码泄露不可能实现。例如,在常规网络条件下,一个2TB的密码文件,需要攻击者进行至少一个月的发送。除了消耗 的时间长,大量数据的对外发送也为安全竖起了一道警戒线。
9 f( z! x& o* G! V- F& b
2、在会上,以色列的一定初创公司Dyadic也展示了他们的分布式安 全模块。通过使用最先进的多方计算加密技术(MPC),DSM在多台服务器之间将每个密码密钥进行分割。攻击者要破解密码,需要攻破所有涉及到的服务器的 安全机制。因为服务器可以有不同的访问凭证,乃至不同的操作系统,这就使得攻击者的任务更加艰巨。

% r7 _" n8 ]1 E( W5 V0 X
8 M" _% Y0 l' [& i/ _1 K! u      既然“除非尝试过其他所有的认证机制,否则密码就是最糟糕的认证方式”,也了解了密码的优劣是与系统的安全性密切相关的。因此,要对付离线破解,应该通过任何前面提到的方法,使用应用程序进行解决,而不是通过“密码复杂性”将其处理成用户的额外负担。

+ I, F; D# e7 ]' V! W
上一篇
下一篇
小执念乐于助人,奖励 2 个 金币.


柔光的暖阳 「龙战于野」 2018-5-5 19:29 来自手机 |显示全部楼层

这个用户很懒,还没有填写自我介绍呢~

希望你们能用功读书,不要像我只能靠脸混吃混喝。#t201:
那一缕微光 「龙战于野」 2018-5-7 07:40 |显示全部楼层

这个用户很懒,还没有填写自我介绍呢~

学习了~~~~~~~
您需要登录后才可以回帖 登录 | 免费注册  

本版积分规则

关于本站|大事记|小黑屋|古黑论 网站统计

GMT+8, 2021-8-1 09:36 , Processed in 0.025974 second(s), 22 queries , Redis On.

© 2015-2021 GuHei.Net

Powered by Discuz! X3.4

快速回复 返回列表