我們都痛恨密碼，然而不幸的是在當(dāng)下及可以看見的未來里，賬戶登錄等在線認(rèn)證操作的主要方法還是需要使用密碼的。密碼認(rèn)證有時確實比較煩人，尤其是一些網(wǎng)站為了密碼安全性，要求我們在設(shè)置密碼時必須包含大小寫字母、數(shù)字或特殊字符。

微軟發(fā)布的最新研究報告稱：增強(qiáng)密碼復(fù)雜性基本是沒有任何意義的。在本文中，我將簡要分析一下微軟的理論，并且與大家探討下兩個新的密碼安全解決方案。

什么是暴力破解?

暴力破解攻擊是指攻擊者通過系統(tǒng)地組合所有可能性(例如登錄時用到的賬戶名、密碼)，嘗試所有的可能性破解用戶的賬戶名、密碼等敏感信息。攻擊者會經(jīng)常使用自動化腳本組合出正確的用戶名和密碼。更多信息請點我

增強(qiáng)密碼復(fù)雜性基本沒用

在密碼能強(qiáng)大到無視社工字典的攻擊后，采取的那種攻擊稱為暴力破解。這類暴力破解又分兩種：在線破解和離線破解。

在線破解時，黑客通常使用與用戶正常操作時相同的應(yīng)用接口(比如登錄時用到的web接口)，因而可能被某些安全防控規(guī)則限制。然而由于離線破解的必要條件是黑客已經(jīng)獲取了密碼文件，因而黑客們進(jìn)行密碼暴力猜解時通常是毫無忌憚、無所限制的。

微軟安全研究人員發(fā)現(xiàn)，通過在線破解所嘗試直至成功的次數(shù)最高約為100萬次，而離線破解則達(dá)到了10億次之多。

因此一個不太復(fù)雜的百萬次猜解級別的密碼“tincan24”與一個10億次猜解級別的密碼“7Qr&2M”相比，他們對于在線破解來說都是強(qiáng)密碼，而通過離線破解則都不堪一擊。同時后者還更加難以記住。

這就告訴我們，在離線暴力破解攻擊面前，增強(qiáng)密碼復(fù)雜性基本沒用。

當(dāng)密碼文件泄露后

為了對抗密碼文件泄露后的離線破解攻擊，我們需要做一些防護(hù)措施。

在微軟的報告里提到一個通用解決方案：

將每個密碼進(jìn)行加密，然后將密鑰儲存在硬件安全模塊(HSM)之中。因為HSM并沒有提供密鑰的外部訪問接口，所以想要解密密文，只能通過應(yīng)用程序走正常流程，那樣即使拿到了密文也沒有太大用處。

兩個創(chuàng)新性防護(hù)方案

對于防密碼文件泄露，國外安全研究者提出兩個創(chuàng)新性的解決方案：

1、在Derbycon 2014大會上，Benjamin Donnelly和Tim Tomes提出了他們的“球鏈”(BAC)解決方案。BAC提供了一種方法，可以人工填充密碼文件從而增加文件大小。當(dāng)然，密碼數(shù)據(jù)會安全地存放在文件里不會丟失，這樣一來密碼的猜解難度增大了許多。打個比方，黑客想要在線猜解一個2TB大小的密碼文件，至少得花費1個月的時間。這么長的時間，再加上如此大的數(shù)據(jù)發(fā)送量，黑客的攻擊有非常大的可能性會暴露。

2、以色列某新興公司Dyadic，向公眾展示了它的分布式安全模塊(DSM)。DSM運(yùn)用了最先進(jìn)的分布式計算(MPC)加密技術(shù)，通過把每組密碼進(jìn)行分割后，分布式存儲在多個服務(wù)器上。黑客想要破解密碼，需要遍歷多個服務(wù)器。由于各服務(wù)器有著不同的訪問憑證，甚至操作系統(tǒng)也可能不一樣，這會大大增加黑客的破解難度。

結(jié)語

把密碼保護(hù)的重任壓在用戶身上是不科學(xué)的，作為安全研究人員，我們顯然不能一味地要求用戶增加密碼復(fù)雜度。而諸如使用對稱/非對稱算法存儲密碼、加鹽(salt)、加密機(jī)的使用似乎都是老生常談，技術(shù)也并不新鮮。

有沒有一些新的技術(shù)或方式可以提高密碼及密碼存儲安全性?上文中國外的安全研究者拋出了兩種方法，國內(nèi)的同志們的呢?歡迎在本文評論中討論和交流。

參考來源：http://www.securityweek.com/brute-force-attacks-crossing-online-offline-password-chasm