我們都痛恨密碼，然而不幸的是在當下及可以看見的未來里，賬戶登錄等在線認證操作的主要方法還是需要使用密碼的。密碼認證有時確實比較煩人，尤其是一些網站為了密碼安全性，要求我們在設置密碼時必須包含大小寫字母、數字或特殊字符。

微軟發布的最新研究報告稱：增強密碼復雜性基本是沒有任何意義的。在本文中，我將簡要分析一下微軟的理論，并且與大家探討下兩個新的密碼安全解決方案。

什么是暴力破解?

暴力破解攻擊是指攻擊者通過系統地組合所有可能性(例如登錄時用到的賬戶名、密碼)，嘗試所有的可能性破解用戶的賬戶名、密碼等敏感信息。攻擊者會經常使用自動化腳本組合出正確的用戶名和密碼。更多信息請點我

增強密碼復雜性基本沒用

在密碼能強大到無視社工字典的攻擊后，采取的那種攻擊稱為暴力破解。這類暴力破解又分兩種：在線破解和離線破解。

在線破解時，黑客通常使用與用戶正常操作時相同的應用接口(比如登錄時用到的web接口)，因而可能被某些安全防控規則限制。然而由于離線破解的必要條件是黑客已經獲取了密碼文件，因而黑客們進行密碼暴力猜解時通常是毫無忌憚、無所限制的。

微軟安全研究人員發現，通過在線破解所嘗試直至成功的次數最高約為100萬次，而離線破解則達到了10億次之多。

因此一個不太復雜的百萬次猜解級別的密碼“tincan24”與一個10億次猜解級別的密碼“7Qr&2M”相比，他們對于在線破解來說都是強密碼，而通過離線破解則都不堪一擊。同時后者還更加難以記住。

這就告訴我們，在離線暴力破解攻擊面前，增強密碼復雜性基本沒用。

當密碼文件泄露后

為了對抗密碼文件泄露后的離線破解攻擊，我們需要做一些防護措施。

在微軟的報告里提到一個通用解決方案：

將每個密碼進行加密，然后將密鑰儲存在硬件安全模塊(HSM)之中。因為HSM并沒有提供密鑰的外部訪問接口，所以想要解密密文，只能通過應用程序走正常流程，那樣即使拿到了密文也沒有太大用處。

兩個創新性防護方案

對于防密碼文件泄露，國外安全研究者提出兩個創新性的解決方案：

1、在Derbycon 2014大會上，Benjamin Donnelly和Tim Tomes提出了他們的“球鏈”(BAC)解決方案。BAC提供了一種方法，可以人工填充密碼文件從而增加文件大小。當然，密碼數據會安全地存放在文件里不會丟失，這樣一來密碼的猜解難度增大了許多。打個比方，黑客想要在線猜解一個2TB大小的密碼文件，至少得花費1個月的時間。這么長的時間，再加上如此大的數據發送量，黑客的攻擊有非常大的可能性會暴露。

2、以色列某新興公司Dyadic，向公眾展示了它的分布式安全模塊(DSM)。DSM運用了最先進的分布式計算(MPC)加密技術，通過把每組密碼進行分割后，分布式存儲在多個服務器上。黑客想要破解密碼，需要遍歷多個服務器。由于各服務器有著不同的訪問憑證，甚至操作系統也可能不一樣，這會大大增加黑客的破解難度。

結語

把密碼保護的重任壓在用戶身上是不科學的，作為安全研究人員，我們顯然不能一味地要求用戶增加密碼復雜度。而諸如使用對稱/非對稱算法存儲密碼、加鹽(salt)、加密機的使用似乎都是老生常談，技術也并不新鮮。

有沒有一些新的技術或方式可以提高密碼及密碼存儲安全性?上文中國外的安全研究者拋出了兩種方法，國內的同志們的呢?歡迎在本文評論中討論和交流。

參考來源：http://www.securityweek.com/brute-force-attacks-crossing-online-offline-password-chasm