詳談重用密碼的危害和密碼管理器

這些年來發(fā)生的重大用戶隱私泄漏事件，就其根源，有一半的原因要歸咎于用戶本身，其中最常見的就是密碼設(shè)置太簡單。為此，很多供應(yīng)商和機構(gòu)都強制用戶設(shè)置更復(fù)雜的密碼。但即便如此，密碼設(shè)置方面的漏洞還是攻擊者最喜歡的攻擊入口點，這其中最常見的問題就是密碼重用。有用戶覺得，對于不同的賬戶，我會將用過的密碼進行一些細微的改變，這樣是不是就安全了？經(jīng)過實際測試，這些只經(jīng)過細微更改的密碼，都算是密碼重用。

那問題就來了，既然密碼管理器現(xiàn)在隨手可用，那為什么密碼重用問題還是如此突出呢？其原因在上面已經(jīng)說了，對于不同的帳戶，用戶總愛用相似的密碼，因為這樣好記，另外就是很過用戶覺得使用密碼管理器太麻煩。但是在當(dāng)今的網(wǎng)絡(luò)世界中，密碼重用的使用率非常驚人。所以，我們建議你使用密碼管理器，這有助于減少密碼重用，提高安全性。在本文中，我們將對一些最常見的密碼管理器進行安全和實用性分析，說不定其中有你最喜歡的一個。

重用密碼絕對不要再用

重大黑客和安全漏洞一直在發(fā)生，毫無疑問，黑客正在使用先前收集的密碼數(shù)據(jù)庫來嘗試?yán)酶鞣N網(wǎng)絡(luò)資源。密碼重用是造成這些黑客能成功攻擊的主要原因，收集了一個密碼數(shù)據(jù)庫后，黑客可以迅速嘗試在其他資源上盜用帳戶憑據(jù)。通過僵尸網(wǎng)絡(luò)實施的這些攻擊可能不會觸發(fā)安全警告，即使帳戶已被盜用也是如此。

多家機構(gòu)的研究表明，幾年前，使用不同服務(wù)的用戶帳戶之間的密碼重用率至少為31%。如今，普通用戶使用的網(wǎng)絡(luò)帳戶數(shù)量已大大增加，這導(dǎo)致重用密碼的情況嚴(yán)重增加。最近的報告表明，大約59%的用戶在許多不同的網(wǎng)絡(luò)服務(wù)中都存在著重復(fù)使用密碼的情況。如果結(jié)果是按著使用相似密碼來計算，則該比例可能會更高。

這些數(shù)字實際上意味著什么，你知道嗎？這意味著，如果一個用戶擁有20個網(wǎng)絡(luò)帳戶，則僅他只使用了7個密碼。在這7個密碼中，有3個是獨立的，而剩余的 “不同”密碼看起來很相似。我們觀察到的最常見的行為模式之一是將給定的網(wǎng)站或資源所需的數(shù)字和特殊字符的數(shù)量附加到密碼的末尾。因此，“不同”的密碼列表可能包括簡單的變體，如password1、password123、password1 $等。在調(diào)查過程中，這些模式很容易被發(fā)現(xiàn)和利用。

密碼重用和計算機取證

盡管密碼重用不利于安全性，使黑客能夠快速攻擊多種服務(wù)，但對于計算機取證而言卻是一大福音。通過獲取密碼列表，專家可以確定一個用來取證的通用模式，這種模式反過來又使他們能夠構(gòu)建所謂的基于掩碼的攻擊?；谘诖a的攻擊允許指定用戶的所有或大部分密碼都具有的共同點，從而減少了要嘗試的密碼數(shù)量。

例如，使用Elcomsoft Distributed Password Recovery工具可以大大緩解基于掩碼的攻擊。在在此之前，讓我們看看這些密碼有什么共同點：

password

Password$

password1

Password12

Password5678

Password123$

如上所示，所有這些密碼都是基于一個關(guān)鍵字“password”，它可能以大寫“P”開頭，也可能以小寫“P”開頭。關(guān)鍵字后面可以跟或不跟最多包含4位數(shù)字的密碼，后面可以跟也可以不跟一個特殊字符這是一個非?，F(xiàn)實的場景，即用戶嘗試使用盡可能簡單的密碼。但是，如果安全策略強制使用一定數(shù)量的大寫字母、數(shù)字和特殊字符，則用戶只需將它們添加到密碼的末尾即可。在EDPR 4.20（雷神分布式破解系統(tǒng)免費版）中，你可以使用一個簡單的掩碼，如下所示：

下面這些密碼有什么共同之處呢？

andy1980

apple1$

mary1968

hopeful1

wardrobe

monitor$

所有這些密碼均基于單個字典單詞，該單詞以小寫字母開頭，該字母可以或不可以跟一個包含最多4位數(shù)字的數(shù)字，該數(shù)字可以或可以不跟一個特殊字符。如果你使用的是較舊版本的Elcomsoft Distributed Password Recovery，則必須構(gòu)建一種非常復(fù)雜的混合攻擊來解決所有這些密碼變體，而EDPR 4.20則可以使它變得非常簡單：

現(xiàn)在，如果用戶擁有一套稍微復(fù)雜一些的密碼，該怎么辦？

Andy1980

Apple1$

mary1968

hopeful1

wardrobe

monitor$

這些密碼與前一種情況類似，都是基于一個字典單詞，這個單詞后面可能有或沒有一個包含最多4位數(shù)字的數(shù)字，后面可能有或沒有一個特殊字符。然而，這次這個單詞可能以大寫字母開頭，也可能不以大寫字母開頭。

密碼管理器介紹

1Password，Dashlane，KeePass和LastPass是四個最受歡迎的密碼管理器。密碼管理器存儲、管理和同步用戶密碼以及其他敏感數(shù)據(jù)。密碼管理器經(jīng)過明確設(shè)計，旨在減輕密碼重用問題，提供生成、存儲和使用真正唯一且不可重用的密碼的功能。

典型的密碼管理器會將所有密碼保存在數(shù)據(jù)庫中，數(shù)據(jù)庫使用主密碼進行加密保護，并存儲在本地或云中。密碼管理器同時支持臺式機和移動設(shè)備，并采用強加密技術(shù)來保護對密碼數(shù)據(jù)庫的訪問。

值得注意的是，整個密碼數(shù)據(jù)庫通常受一個主密碼保護，該密碼將解密并打開所有存儲的密碼。

由于大多數(shù)用戶只使用他們的移動設(shè)備來訪問帳戶和打開文檔，因此密碼管理器也可以在移動平臺上使用。由于觸摸屏沒有物理鍵盤，并且不能使用“學(xué)習(xí)進程”來輸入復(fù)雜的密碼，這會導(dǎo)致經(jīng)常選擇在移動設(shè)備上解鎖其密碼庫的用戶選擇更簡單的主密碼。Touch ID或Face ID確實有助于避免輸入主密碼，但仍然需要不時使用主密碼進行身份驗證。

1Password是由AgileBits于2006年開發(fā)的，此密碼管理器支持Windows、macOS、iOS和Android平臺。該數(shù)據(jù)庫可以存儲在本地，Dropbox或iCloud中，該數(shù)據(jù)庫包含在iTunes備份和iCloud備份中。

LastPass是2008年由Marvasol公司（后來被LogMeIn收購）推出的，LastPass還支持Windows、macOS、iOS和Android平臺。此外，LastPass可以作為瀏覽器擴展安裝在許多流行的瀏覽器中。密碼通過LastPass服務(wù)器同步。除了桌面版本，密碼數(shù)據(jù)庫還可以從瀏覽器擴展和Android設(shè)備中獲得。

Dashlane是Dashlane在2012年開發(fā)的，它還支持Windows、macOS、iOS和Android。密碼通過Dashlane服務(wù)器同步，密碼數(shù)據(jù)庫只能通過文件系統(tǒng)提取從計算機或移動設(shè)備獲取。

KeePass是一個開源應(yīng)用程序，它的本地構(gòu)建只適用于Windows，所有主要的臺式機和移動平臺都有大量的第三方端口。KeePass不提供備份或同步選項，數(shù)據(jù)庫可以從本地臺式機或通過移動設(shè)備的文件系統(tǒng)提取來獲取。

正如我前面提到的，密碼管理器將密碼存儲在本地數(shù)據(jù)庫中。這些數(shù)據(jù)庫可以使用一個主密碼進行加密。由于信息的敏感性，這種保護通常非常強大，可以承受高性能的暴利攻擊。但是，許多密碼管理器針對其應(yīng)用程序和插件中的不同數(shù)據(jù)庫采用不同的保護設(shè)置。 Windows桌面應(yīng)用程序通常會提供最強的保護，而Android應(yīng)用程序?qū)⑹褂米钊醯谋Ｗo。一些密碼管理器使用自適應(yīng)保護強度，該強度取決于特定設(shè)備的運行性能。

無論哪種方式，在攻擊密碼管理器數(shù)據(jù)庫時都必須使用GPU輔助攻擊，最新版本的 Elcomsoft Distributed Password Recovery 可以利用GPU加速來加快對用主密碼加密的1Password，Dashlane，KeePass和LastPass數(shù)據(jù)庫的攻擊。以下基準(zhǔn)測試演示了對從1Password，Dashlane，KeePass和LastPass的相應(yīng)Windows桌面應(yīng)用程序提取的本地數(shù)據(jù)庫的攻擊性能：

如果你對不同密碼管理器的基準(zhǔn)值感到困惑，那是因為它們令人困惑。不過，密碼管理器在不同環(huán)境中確實采用了不同的保護設(shè)置。例如，如果我們使用了1Password，則恢復(fù)速度取決于哈希算法（SHA-1，SHA-256或SHA-512）和迭代次數(shù)。桌面Windows應(yīng)用程序支持SHA-512，它的散列輪數(shù)似乎是隨機的，散列輪數(shù)是根據(jù)特定計算機的性能和其他一些特性單獨計算的，這是為了確保沒有延遲地打開密碼數(shù)據(jù)庫。這意味著，攻擊的速度隨著迭代次數(shù)的增加而下降。出于這個原因，1Password的基準(zhǔn)看起來可能非?；靵y。

使用唯一的密碼是不夠的

即使每個網(wǎng)絡(luò)帳戶都使用唯一的隨機密碼，這也不足以確保網(wǎng)絡(luò)的安全。 如果用戶使用一個“通用”電子郵件帳戶，如攻擊者使用被攻擊的雅虎郵件不僅能夠訪問存儲在該帳戶中的歷史電子郵件消息，而且還可以請求用該電子郵件地址注冊的其他帳戶的密碼重置。至于是哪個帳戶？ 通過分析用戶的電子郵件歷史記錄，則很容易猜到。 攻擊者使用一個遭到入侵的Google帳戶就可以得到存儲的密碼，從而訪問用戶的整個數(shù)字世界的生活軌跡。 同樣，受攻擊的Apple和Microsoft帳戶也會導(dǎo)致類似的后果。 因此，我們再怎么強調(diào)雙因素身份驗證的重要性也不為過。我們認(rèn)為，任何蘋果ID、谷歌賬戶、Facebook或微軟賬戶都必須經(jīng)過雙因素身份驗證才保險。