用户名真的和密码一样重要吗[网络技术]

几个月前,笔者采访了微软首席研究员科马克·赫利博士.在经过几次风趣的扳谈后,我撰写了一篇文章,标题为《用户能否有回绝安全倡议的权利?》笔者的概念和赫利博士的相同,关于用户来说,假如安全倡议是高贵并且无效的,为什么不能回绝它呢?

笔者无意中发现了另一篇文章,它是由赫利博士与来自微软的另一名研究员迪内伊·弗洛伦西奥博士以及理工大学的研究助理巴里斯·库斯昆博士一同撰写的.我但愿与前面的文章相比,它的内容更刺激,后果,实际情形确切是这样的:

在《强密码真的是没有实际效果么?》一文中,他试图注释在当前网站用户名和密码利用中存在的错误方法.笔者赞成他们的概念.你是怎么熟习的呢?

主要威胁有哪些?

首先,关于网站登录凭证来说,盗窃是面对最直接的风险,关于金融业来说,这种情形尤为严重.因此,在该文的下面列出了盗取网站信息的主要办法:

· 网络钓鱼

· 记录键盘活动

· 操纵分外知识或拜候举行攻击(采取和用户相关的信息、直接察看偷看或进入到计算机的方法)

· 暴力穷举攻击个人帐户

· 对网站上的全部帐户举行大规模猜想攻击

目前的最佳处理办法

因此,为了确保全部人步伐一致,该文提出了目前被认为是得当的密码管理办法:

· 挑选强密码

· 常常改换密码

· 任什么时刻间都不要把密码写下来

这些办法没有起什么作用

研究者们认为这些倡议是过期的.在碰到网络钓鱼、键盘记录以及操纵特别知识的攻击时,"最佳密码管理方法"不会保护你的登录凭证.我相信大大都人城市赞成这一点,但关于暴力穷举和大规模猜想攻击呢?

暴力穷举攻击

作者们认为暴力穷举和大规模猜想攻击是无效的.缘由很简单,在普通情形下,系统管理员会对失利的特定登录计划设置限定数目.他们会采取下面给出的例子中的做法:

"假如一家银行采取的是六位数字个人辨认码(典型的弱密码),并采纳了在三次输入错误后锁定账户一天的办法的话,攻击者需求搜索3x365x10=1e6大概说在在十年内才能得到1%的关键空间.此外,不成功的登录和成功的之间辨别非常大,因此,很简单被发现."

这大概是事实,但假如网站没有锁定战略的话,应当怎么办?

大规模猜想攻击

必须承认,我历来没碰到过大规模猜想攻击.他们的攻击方法应当好像名称中描写的那样.来自该文中下面的例子阐明的就是大规模猜想攻击的概念:

"假定一家银行拥有一千万个网络用户帐户.假如银行答应六位数字的个人辨认码,这样的话,平均每个密码将被用于十个差别的用户.攻击者不是探求一个特定用户名的全部大概密码,而是操纵给定密码对全部大概的用户名称举行搜索.操纵这种战略,一千万次计划将会产生十次成功登录."

作者们还表明,这种办法非常的躲藏.

"对单一用户名举行密码攻击是十清楚显的,攻击者的实际登录尝试难以掩盖.而对全部用户名举行攻击不会对大局造成什么影响:即便一千万次尝试平均下来也不过是一个账户一次登录失利."

关于某些人来说,一千万人里只有十次攻击成功看起来是微不足道的.当然,除非他也是在这十个人里面.

凭证安全的影响因素

接下来,研究人员但愿肯定关于每一个用户名/密码组合来说多少数字信息是必须的.在上面的例子中,这一数额乘以1000万就会变得非常重要:

"在本例中,银行拥有一千万网络用户,每位用户都利用20位的密码(6位的个人辨认码).银行已经对用户名举行简化.用户被指定为持续的7位数字.这就是大约23位.因此,为了进入用户的账户,攻击者必须输入43位数字.我们将这一43位的用户名密码叫做银行凭证.

因此,关于举行大规模猜想攻击的黑客来说,需求搜索的空间是2的43次方.这此中有2的23次方的有效账户,因此,攻击者可以预期在2的20次方攻击后,便可以进入一个账户."

研究人员发现增添个人数字凭证的位数可以有效提高抵挡大规模猜想攻击的本领.该研究团队供应了下列参数:

· Bu:即用户名的位数

· Bp:即密码的位数

· N:成员数目的改变

下面的表达式显示的就是举行大规模猜想攻击需求搜索的空间容量:

2的(Bu+Bp)次方

下面的方程代表了得到一次成功需求尝试的数字:

2的(Bu+Bp)次方/N

从第二个表达式中,我们可以看到用户名和密码规模增添得越大,攻击成功的概率越低.

增添用户名的位数

在这里,我们不倡议增添密码的位数.研究人员已经注释过增添密码的位数不会削减网络钓鱼、键盘记录或操纵特别知识举行攻击带来的风险.此外,人们更习惯记忆简单的密码.因此,为什么不挑选增添用户名的位数作为替换呢?毕竟,这样做可以得到相同的效果.

增添用户名而不是密码的位数还有一项更大的好处.这就是,用户名不需求保密.用户名可以显示给全部人看.网络犯罪分子很难从显示器上贴着的便签中汇集到全部人的用户名.

在这里,研究团队触及到一个问题:就是攻击者可以得到机构数据库中的全部清单.研究人员假定(固然是合乎逻辑的,但还是一项假定)用户名清单是遭到严密保护的.假如一份清单被公布,机构可以防备操纵用户名和错误密码举行的回绝服务攻击带来的风险.

结 论

最后,研究团队供应了两种办理筹划,它们辨别实用于大型机构和小型机构:

大型机构:可以挑选利用简单的短密码配合较长的用户名.这样可以削减凭证攻击成功的大概性,并让用户的利用变得更便利.

小型机构:关于这么少的用户群,网络犯罪分子不会想操纵大规模猜想攻击来得到信息.因此,该文的结论是利用简单的短密码,并且只要呈现一次不成功的登录就锁定的战略.

最后的考虑

在读完好部文章后,关于用户登录凭证笔者目前有了差别的概念.这一概念仿佛非常有意思,但有些人大概会发现研究中存在争议.此外,赫利博士仿佛还没有完成整个研究工作.在近来的一封电子邮件中,他提到正在和其他人合作撰写另一篇文章:

"新文章将找出确认密码能否属于风行的办法.我们认为,禁止那些风行的密码比起要求用户利用更复杂的密码来说,是更好的挑选."

因此,我们要做的就是保持关注.