我们对“密码”概念并不陌生,随着加密安全技术的发展,密码学也已经产生。对于加密者,大多采用直观方式进行明文输入,经系统或终端进行特定法则加密后变为密文,当然也存在以直接存储形式出现的密码信息。对于各种密码而言,涉及到安全方面的隐患不仅仅是明文的保管,更多是针对算法或运行机制的跨越。我们将针以目前在计算机应用中常见的密码突破为切入点,了解当前常见密码的安全强度。
一、Windows密码
尽管大部分人在使用Windows系统,但其自身的系统密码可谓“不堪一击”。还记得早期Windows 98那个蠢蠢的登录界面吧,直接确定进去也能完成各种操作,在用户级别机制没有完善之初,系统密码的存在也就显得不重要了,这与BIOS密码没什么不同。
直到后来Windows 2000出现,登录密码才进入“正轨”,考虑到企业用户中不同组之间的权限需要,微软进一步加强了登录密码强度,遗憾的是著名的“输入法”漏洞搅黄了一切,虽然没有彻底跨越登录密码,但足以让系统资源暴露于众目睽睽之下。
Windows XP时代,关于SAM文件的争论一直没有停止。通过破解(删除)SAM密码数据库文件一直没有得到大众的认可,有些用户反应删除SAM文件后操作后系统的异常甚至崩溃让众人望而却步,直到后来出现纯正的DOS下破解工具,Windows XP系统密码才正式被终结。
Active Password Changer只需几步就可以让Windows XP登录密码灰飞烟灭,目前通过设置登录密码来保护数据资源已经得不到基本的安全保障了,并且,Vista也一样。
二、暴力方式
1.WinRAR
无论是个人还是企业,实际应用中压缩密码使用率都很高,我们经常通过WinRAR方式对文件名和数据进行加密。事实上,这种方法的确非常好,因为目前没有任何绝对的方法能够突破WinRAR密码,选择的只有暴破。
那些所谓能够快速破解RAR密码的产物,包括Advanced RAR Password Recovery,使用的人都知道不过是暴力方式,与其说是在破解,不如说是在碰撞密码。
LockDown曾经公布过一份采用“暴力字母破解”方式获取密码的时间表。如果你用一台带有双核CPU的计算机来破解密码,最简单的6位数字密码转瞬之间即可破解完成,而8位密码则需要348分钟;破解6位纯字母密码需要33分钟,8位密码却要用两个月;而最常见的数字+字母的组合密码,6位只要2个小时即可,8位要长达1年。
可见,在应对暴力破解时最好的方法就是提高密码位数,当然如果你愿意采用更复杂的密码元素(比如加入标点或者特殊字符),效果会更好。现在也许你能理解为什么那么多论坛程序在要求用户注册时需要输入8位密码了。
2.DRM保护
DRM即Digital Rights Management:内容数字版权加密保护技术。破解DRM的难题在于:DRM建立了一个数字节目授权中心,加密的数字节目头部存放着授权中心地址,用于在运行保护文件时到该中心进行验证,通过后方可正常播放。大家如果下载一些视频,运行后弹出一个密码框并通过网络验证,就表明该文件被DRM保护了。
从某种意义上说:破解这种文件的难度远大于WinRAR密码。虽然在破解工具和DRM版本相互升级厮杀过程中我们的确能成功破解一些文件。但按照常规方式,即使用现在最流行的破解工具FairUse4WM,也需要先获得该视频文件的Licence,如果具备了Licence,又没有破解的必要了。
三、密码未完成
以上两大方面概括了不同的密码破解形式。从强度级别上讲,暴力方式更安全一些,因为理论上所有密码都要经受暴力破解的威胁,但该破解方式的成功率也是最低的。与系统密码类似,还有很多软件的加密形式被突破,比如Office、Outlook等,已经有具体的工具来针对这部分密码,我们应该提高警惕,可以采用基于暴力破解方式的形式进行二次加密(比如WinRAR对Word文档的再加密)。
而对于暴力破解而言,除了上面提到的增加密码位数和元素种类外,还要避开密码心理学陷阱,英国媒体针对密码的一次匿名性统计很能说明问题,他们调查出最常用密码前10名分别是:
第十名thomas,使用率0.99‰(千分之)——英国最常用的名字
第九名arsenal,使用率1.11‰——阿森纳
第八名monkey,使用率1.33‰——六位,简单容易拼写
第七位charlie,使用率1.39‰——同样是英国常用的名字
第六位qwerty,使用率1.41‰——键盘“弱智”
第五位123456,使用率1.63‰——不予置评
第四位letmein,使用率1.76‰——让我进来吧
第三位liverpool,使用率1.82‰——城市?球队?
第二位password,使用率3.780‰——果然是“密码”
第一位123,使用率4‰——如果允许使用三位密码,123是绝大多数人的首选
自凯撒密码以来,密码算法演义了一幕幕技术之战,密码之间的攻防提升了密码的相对强度,对于企业用户而言,采用高强度密码是很有必要的,但此文想告诉大家,很多密码无论算法多么复杂,一些漏洞或者表象特征让其失去了最基本的安全性,我们应该梳理好整个安全系统,尽量杜绝防止相关领域弱密码的涉及,这对于企业内部数据的保护是至关重要的。
