近年发生的重大用户隐私泄露事件,一半的根源都归咎于用户自身,其中最常见的就是密码设置过于简单。为此,许多提供商和机构都在强制用户设置更复杂的密码。即便如此,密码设置中的漏洞仍是攻击者最喜欢的切入点,最常见的问题是密码重用。有些用户认为针对不同的账户,我会对使用的密码做一些细微的改动。这样安全吗?经过实际测试,这些仅略微改动过的密码都被认为是密码重用。那么问题来了,既然现在密码管理器已经唾手可得,为什么密码复用的问题还是那么突出呢?原因上面已经说了,对于不同的账户,用户总是使用相似的密码,因为这样容易记住,另外,很多用户觉得使用密码管理器太麻烦了。但在当今的网络世界中,密码重复使用的情况令人震惊。因此,我们建议您使用密码管理器,这有助于减少密码重复使用并提高安全性。在本文中,我们将了解一些最常见的密码管理器的安全性和可用性,您可能会找到自己喜欢的一个。不再重复使用密码重大黑客攻击和安全漏洞一直在发生,毫无疑问,黑客正在使用以前收集的密码数据库来尝试和利用各种网络资源。密码重用是这些黑客攻击成功的主要原因。一旦收集到密码数据库,黑客就可以快速尝试窃取其他资源上的帐户凭据。这些通过僵尸网络进行的攻击可能不会触发安全警告,即使帐户已被盗用也是如此。多家机构的研究表明,几年前,使用不同服务的用户账户之间的密码重用率至少为31%。今天,普通用户使用的在线帐户数量急剧增加,这导致密码重用严重增加。最近的报告表明,大约59%的用户在许多不同的Web服务中重复使用密码。如果结果是基于使用相似的密码,这个百分比可能会更高。这些数字到底意味着什么,你知道吗?这意味着如果一个用户有20个在线帐户,他只使用7个密码。在7个密码中,3个是独立的,而其余“不同”的密码看起来相似。我们观察到的一种最常见的行为模式是将给定网站或资源所需的数字和特殊字符的数量附加到密码的末尾。因此,“不同”密码列表可能包括简单的变体,例如password1、password123、password1$等。这些模式很容易在调查期间发现和利用。密码重用和计算机取证虽然密码重用不利于安全,允许黑客快速攻击多项服务,但它对计算机取证来说是一个福音。通过获取密码列表,专家可以确定用于取证的通用模式,这反过来又允许他们构建所谓的基于掩码的攻击。基于掩码的攻击允许指定所有或大部分用户密码的共同点,从而减少尝试密码的次数。例如,使用Elcomsoft分布式密码恢复工具可以大大减轻基于掩码的攻击。在我们这样做之前,让我们看看这些密码有什么共同点:也以小写字母“P”开头。关键字后面可能会也可能不会后面有最多4位数字的密码,后面可能会或可能不会后面有特殊字符。这是一个非常现实的场景,用户尝试使用尽可能简单的密码。但是,如果安全策略强制执行一定数量的大写字母、数字和特殊字符,用户只需将它们添加到密码末尾即可。在EDPR4.20(Thor分布式破解系统免费版)中,您可以使用这样一个简单的掩码:?0assword?1(0-4)?2(0-1)charactergroup?0:Ppcharactergroup?1:digitscharactergroup?2:specialsymbols以下密码有什么共同点?andy1980apple1$mary1968hopeful1wardrobemonitor$所有这些密码都基于一个字典单词,该单词以小写字母开头,后面可能跟也可能不跟一个4位数字,后面可能跟也可能不跟特殊字符.如果您使用的是旧版本的Elcomsoft分布式密码恢复,您必须构建一个非常复杂的混合攻击来解决所有这些密码变体,而EDPR4.20使它变得非常简单:?w[mydic.udic]?0(0-4)?1(0-1)charactergroup?0:digitscharactergroup?1:specialsymbols现在,如果用户有一组稍微复杂的密码怎么办?Andy1980Apple1$mary1968hopeful1wardrobemonitor$这些密码与前一种情况类似,基于字典单词,后面可能跟随也可能不跟随包含最多4位数字的数字,也可能跟随也可能不跟随特殊字符。然而,这次这个词可能会也可能不会以大写字母开头。介绍密码管理器1Password、Dashlane、KeePass和LastPass是四种最流行的密码管理器。密码管理器存储、管理和同步用户密码和其他敏感数据。密码管理器明确设计用于通过提供生成、存储和使用真正唯一且不可重复使用的密码的能力来缓解密码重复使用问题。典型的密码管理器将所有密码保存在数据库中,该数据库使用主密码加密并存储在本地或云端。密码管理器支持桌面和移动设备,并采用强加密来保护对密码数据库的访问。值得注意的是,整个密码数据库通常由一个主密码保护,它将解密和打开所有存储的密码。由于大多数用户仅使用他们的移动设备访问帐户和打开文档,因此密码管理器也可在移动平台上使用。由于触摸屏没有物理键盘,也不能使用“学习进度”来输入复杂的密码,这导致经常选择在移动设备上解锁密码库的用户选择更简单的主密码。TouchID或FaceID确实有助于避免输入主密码,但仍需要不时使用它进行身份验证。1Password由AgileBits于2006年开发,这款密码管理器支持Windows、macOS、iOS和Android平台。该数据库可以存储在本地、Dropbox或iCloud中,该数据库包含在iTunes备份和iCloud备份中。LastPass由Marvasol(后来被LogMeIn收购)于2008年推出,还支持Windows、macOS、iOS和Android平台。此外,LastPass可以作为浏览器扩展安装在许多流行的浏览器中。密码通过LastPass服务器同步。除了桌面版本外,密码数据库还可以作为浏览器扩展程序和适用于Android设备。Dashlane由Dashlane于2012年开发,同时支持Windows、macOS、iOS和Android。密码通过Dashlane服务器同步,密码数据库只能通过文件系统提取从计算机或移动设备获得。KeePass是一个开源应用程序,其本机构建仅适用于Windows,具有适用于所有主要桌面和移动平台的大量第三方端口。KeePass不提供备份或同步选项,数据库可以从本地桌面或通过移动设备的文件系统提取。正如我之前提到的,密码管理器将密码存储在本地数据库中。这些数据库可以使用主密码进行加密。由于信息的敏感性,这种保护通常非常坚固,可以抵御高性能的暴利攻击。但是,许多密码管理器在其应用程序和插件中针对不同的数据库采用不同的保护设置。Windows桌面应用程序通常会提供最强大的保护,而Android应用程序将提供最弱的保护。一些密码管理器使用自适应保护强度,这取决于特定设备的运行性能。无论哪种方式,在攻击密码管理器数据库时,GPU辅助攻击都是必须的,最新版本的Elcomsoft分布式密码恢复可以利用GPU加速来加速对使用主密码加密的1Password、Dashlane、KeePass和LastPass数据库的攻击。以下基准测试展示了针对从1Password、Dashlane、KeePass和LastPass的相应Windows桌面应用程序中提取的本地数据库的攻击性能:如果您对不同密码管理器的基准值感到困惑,那是因为它们令人困惑。但是,密码管理器确实在不同的环境中采用了不同的保护设置。例如,如果我们使用1Password,恢复速度取决于哈希算法(SHA-1、SHA-256或SHA-512)和迭代次数。桌面Windows应用程序支持SHA-512,具有看似随机的哈希轮数,根据特定计算机的性能和其他一些特征单独计算,以确保密码数据库立即打开。这意味着攻击速度随着迭代次数的增加而降低。因此,1Password的基准测试看起来相当混乱。使用唯一的密码是不够的即使为每个在线帐户使用唯一的随机密码也不足以保证您的网络安全。如果用户使用“通用”电子邮件帐户,则使用受感染的YahooMail的攻击者不仅可以访问存储在该帐户中的历史电子邮件,还可以请求使用该电子邮件地址注册的其他帐户重设密码。地方。至于哪个账号?通过分析用户的电子邮件历史记录很容易猜到。使用单个受损的Google帐户,攻击者可以访问存储的密码,从而访问用户的整个数字生活。同样,受损的Apple和Microsoft帐户也会导致类似的后果。因此,我们怎么强调双因素身份验证的重要性都不为过。我们认为,任何AppleID、Google帐户、Facebook或Microsoft帐户都必须通过双因素身份验证才能安全。
