密码强度的测试方法
发布时间:2009-06-25 11:30:07 作者:佚名 
我要评论
我要评论 大多数密码被破解情景是:攻击者将截获的哈希值变换为纯文字的密码形式,他们使用离线攻击和哈希表或彩虹(rainbow)表数据库。如果想截获密码的哈希值,那么攻击者得事先做很多工作。
在多数情况下,攻击者必须具备很高 访问权限(如管理员admin权限或root权限)
Jesper Johannson博士在他的“大辩论:密码与密码(Great Debates: Passwords vs. Passphrases)”一系列的论文中写道:他从自己的调查中发现,百分之八十的密码使用了相同的32个字符。这类的规则在过去十年中已被每一个采用密码猜测的攻击者所验证,若应用这些规则,原本一个非常大的密码空间可细分成为更小的、甚至不再具有随机性的密码空间。(我的朋友Mark Burnet是《完美密码》这本书的作者,他进行过一项有关密码字符分配的伟大研究。)我和Bruce Schneier对成千上万个从MySpace上被盗的密码进行了一项类似的研究,你可以在更早前的安全顾问公告和Bruce Schneier的网站上看到具体的细节。 密码的随机性被称为密码的熵entropy。完整的阅读一遍密码的熵是一件会死很多脑细胞的事情。为了简化这个过程,一个密码比如说“password”或者“12345678”几乎没有熵这个概念;而一个像“vB%&7P条”这样的密码,就有一个高于平均值的熵。然而,如果你不把密码空间的其他选择与这个已选定使用的密码一个个的进行审查,想要计算出密码真正的熵,几乎是一件不可能完成的任务。但一些攻击者还能提出的更加智能的猜测办法,使得你所依靠的密码熵模型对整个密码政策保护的成功与否产生重大的影响。 输入电子表格 在这个具备密码猜测计算器功能的电子表格中,我允许用户从四个不同的密码熵模型中进行选择:一个是由美国国家标准与技术研究所开发的模型;一个是由C.E. Shannon开发的模型,C.E. Shannon是一位著名的语言熵研究员;一个是由Johannson开发的模型;还有一个是叫做“完美熵“(Perfect Entropy)的模型。我认为最准确的密码熵模型是来自美国国家标准与技术研究所(NIST Publication 800-63,附录A,表A.1,53页),但我在这份电子电子表格中也包含了其他模式以供参考,并且还有更多的空间可以进行扩充。需要重点指出的是,所有包含在内的密码熵模型可能都有存在着各自的缺陷,但这已经是我们能做到的最好的尝试了,因为我们事先并不知道在特定密码空间条件下所有会被真正采用的密码。
根据我的经验,我认为即使是美国国家标准与技术研究所的模型也过于保守,并且高估密码猜测破解的能力。 在该电子表格中,用户可以输入自己的密码政策(包括长度、字符集、最大年龄、是否启用复杂度标准),选择一个熵模型,并输入攻击者每分钟可以尝试的密码猜测数目。 我碰到的最常见的问题是:每分钟最现实的猜测攻击数目是多少?这得取决于一系列因素,其中包括从源头到目的地的带宽是多少、源头和目的地计算机资源的使用情况、是什么应用程序遭到攻击、锁定规则、受到攻击的系统是什么类型、其他的防御机制,还包括用于攻击的线程数目。 有许多的攻击工具(包括Brutus和THC的Hydra)可以让多线程同时启动。使用这些工具,攻击者可以从多个源头对一个目标同时发起攻击,而攻击线程的数目则会迅速的增长。当我在进行渗透测试时,在一分钟之内就可以轻易产生几百个用于密码猜测的线程,但更需要引起重视的是,大多数的系统在此时会开始陷入瘫痪,许多系统甚至会完全崩溃。
所以,你不得不使用自动化工具进行自己的现实世界密码猜测测试,从而确定应该输入电子表格的有效范围。 你可以使用这个密码猜测电子表格来模拟各种情形的攻击,但我常常展示的一种攻情况包含以下这些输入:8个字符的密码、使用复杂性选择、94符号的字符集、每过90天更改一次密码。在一般情况下,攻击者每分钟只需进行65次猜测就可以破解这一政策下的密码,这并不是一件很难完成的任务。 事先声明,我不对我的这一电子表格可能会产生的错误负责,因为它可能包含大量的错误,不能完全依赖产生的测试结果。你应该进行自己的密码审计测试,从而作出相应的决定。除此之外,这个电子表格完全没有考虑其他一些真正构成的密码强度的因素(系统控制、其他防御机制、物理安全、终端用户的大脑)和所有其他各种各样的密码攻击,如按键记录、侧通道(side-channel)攻击、社会工程学、钓鱼、嗅探和搜寻垃圾(dumpster diving)。
这也就是说,它只是一个可以考虑的、有趣的电子表格。我打算以后对它进行更新,让它具有更好的信息、更高的准确性,并使它具备更好的熵模型。 如果不在这里提及我强烈推荐给大家的密码政策,那么这篇专栏文章将是不完整的。普通用户的密码最少应有10至12个字符(最好是12个或更多);特权帐户密码应该有至少15个字符,而且每90天至120天就应更改一次。禁用强度不高的哈希算法,从而避免密码被攻击者破解。我不是一个支持密码复杂性的粉丝,因为它并不能提供人们所期望的那种保护能力,但你通常不得不把它纳入到自己的密码政策里,以满足审计的要求。 希望各位玩这个电子表格能够玩得愉快!
相关文章
WonderPen怎么自动备份 WonderPen设置自动备份文档的图文教程
WonderPen怎么自动备份?WonderPen是一款界面友好、功能全面的写作软件,支持多种文档类型,为防止数据丢失,用户可轻松设置自动备份,下文中为大家带来了WonderPen设置自动2024-06-28
WonderPen怎么备份 WonderPen立即备份文档的教程
WonderPen怎么备份?使用WonderPen编写文档后,用户可轻松备份以防数据丢失,只需在菜单栏选择“默认文档库”,点击“备份与恢复”选项,然后在弹出窗口中选择“立刻备份”,2024-06-28
WonderPen怎么设置中文 WonderPen设置中文的简单流程
WonderPen怎么设置中文?当用户使用WonderPen软件发现界面语言为英文时,可轻松切换至中文,有的朋友可能还不太清楚具体的操作方法,下文中为大家带来了WonderPen设置中文的2024-06-26
WonderPen怎么新建文档库 WonderPen新建文档库的图文教程
WonderPen怎么新建文档库?WonderPen是一款易于使用的写作软件,提供了流畅的写作体验,若用户想新建本地文档库,只需在菜单栏选择“文件”后点击“新建本地文档库”,再按2024-06-26
BoardMix怎么修改成员权限 BoardMix修改成员权限教程
BoardMix是一款专业的在线教学工具,是一款操作简单方便、功能强大的在线协作白板,可以提高用户之间的沟通办公效率,下面来看看在这里怎么修改成员权限吧2023-06-11
BoardMix在线协作白板,集自由布局、画笔、便签、多媒体呈现、脑图、文档多种创意表达能力于一体,激发团队创造力无限延伸,在这里大家知道怎么邀请成员吗?一起来看看2023-02-06
BoardMix怎么移出团队成员 BoardMix移出团队成员教程
BoardMix是一款专业的在线教学工具,这款软件提供了自由布局、画笔、便签、多媒体呈现、脑图、文档等多种创意白板,下面来学习怎么移出团队成员吧2023-02-06
BoardMix是一款操作简单方便、功能强大的在线协作白板,可以提高用户之间的沟通办公效率。在使用的过程中大家知道怎么去家畜连接线条吗?一起来看看2023-02-06
火龙果写作 全网海量文本素材一站式检索,随时随地满足你的查找需求,提供更多内容获取路径,打造全面、开放的学习内容平台,下面就跟着小编来学习如何修改用户名的操作吧2022-12-19
火龙果写作全网海量文本素材一站式检索,随时随地满足你的查找需求,提供更多内容获取路径,打造全面、开放的学习内容平台,下面就跟着小编来学习如何去绑定邮箱的操作吧2022-12-19
最新评论