网络攻击者可以使用各种工具来启动他们的活动,例如扫描网站和应用程序中的漏洞、制作恶意电子邮件以及启动通过下载进行下载的门户网站。Imperva在一份报告中说,他们拥有越来越多的信息和自动密码破解工具,这些工具可以摧毁系统和网络。
Imperva研究人员在12月14日发布的《黑客情报计划》月度报告中写道,网络攻击者可以更方便地访问彩虹表和字典,以帮助他们破解密码。Imperva说,组织必须加强密码安全措施,防止攻击者成功猜测密码。
Imperva分析了电影爱好者网站FilmRadar.com上近10万个因数据泄露而暴露的密码。该网站使用SHA1哈希函数来存储用户密码。SHA1哈希函数是保护应用程序安全的常用方法,但这还不够。Imperva发现加密哈希的强度并不重要,因为攻击者可以绕过保护措施,猜测密码是什么。
Imperva的研究人员在报告中写道:“与普遍的看法相反,无论是SHA-1还是其他任何加密功能都不受黑客欢迎。”
Imperva说,使用彩虹表和字典的密码破解工具很容易获得,大多数人可以免费下载。据报道,一些流行的破解工具包括MD5解密器、赛博战区、该隐和干练和开膛手约翰。许多工具也依赖黑客论坛作为请求和获取其他表格和字典的方式。
Imperva的研究人员写道:“有了足够的决心,黑客可以轻松找到破解密码的工具和多本字典。”
弓表包含大量字母数字文本的预先计算的哈希值。虽然创建这些表通常是一个漫长的过程,但是一旦创建了这些表,就可以一次又一次地使用它们。如果攻击者有特定服务的密码哈希值,他所要做的就是在表中查找哈希值并找到相应的字母数字字符串。Imperva发现了一个黑客网站,该网站制作了一个彩虹表,并向公众提供了500多亿个哈希值。
强密码-具有许多字符类型(如小写和大写字母、数字和特殊字符以及长密码)的密码使得在彩虹表中查找哈希值在计算上很困难。然而,研究人员最近发现,使用云的功能,例如从亚马逊弹性计算云(EC2)租赁计算资源,可以减少所需的时间。
字典的相似之处在于,它们列出了带有预先计算的哈希值的常见密码。基于字典的攻击是有效的,因为人们仍然使用简单而通用的密码,如“Hello123”和“abcd123”。
Imperva运行一些公开可用的FilmRadar密码工具。根据该报告,该团队使用在线服务上托管的彩虹表,在不到10分钟的时间内找到了100个最受欢迎的密码中的77个。列表中最常见的100个密码占列表的10%。不到两天,我就用字典猜出了近5%的密码。Imperva表示,虽然这是一个缓慢的过程,但黑客仍然可以使用多个字典来查找密码。
Imperva研究人员表示:“当消费者实施好的密码时,我们就会放弃。作为全面数据安全程序的一部分,企业有责任制定适当的密码安全政策和程序,而不是消费者。”Imperva表示,即使PCI和其他法规不适用,IT和安全团队也应该将密码视为非常有价值的数据。
Imperva建议企业不仅要依靠加密哈希,还要“盐”条目来防止彩虹表攻击。Salt值是加密前加在密码开头的随机值,这使得破解密码更加困难。根据Imperva的说法,只需三位盐,彩虹表的存储和预计算时间就会增加八倍。
企业应该使用更容易记住的密码短语和更长的密码。密码可以生成很长的密码,但用户不必担心写在便利贴上。您还应该通过将密码与攻击者使用的同一字典进行比较来加强密码的安全性。微软最近禁止在其Hotmail Webmail服务上使用通用密码。
Imperva说:“建议用户选择强密码。剩下的就看企业了。”
“Imperva公司密码最糟糕的做法”报告是在2009年初发布的消费者密码不良做法报告之后提出的。