制服丝袜一区二区三区,少妇人妻偷人精品一区二区,97国产精华最好的产品有哪些,日本丰满妇人成熟免费中文字幕,五月天激情婷婷婷久久,亚洲第一无码专区天堂,一边做一边喷17P亚洲乱妇50P,日韩欧美精品一中文字幕,久久久久亚洲AV无码专区桃色,亚洲国产中文在线视频

 如今，密碼破解者能夠采用更先進的密碼破解軟件和工具獲取比以往更多的密碼。
　　
　　行業(yè)專家們認為，企業(yè)數(shù)據(jù)的安全依靠傳統(tǒng)密碼的時代已經(jīng)過去了。他們應該采用更安全的訪問方法，如多因素身份驗證（MFA），生物識別，以及單點登錄（SSO）系統(tǒng)。根據(jù)Verizon公司最近發(fā)布的“數(shù)據(jù)泄露調查報告”，81％的與黑客有關的違規(guī)行為涉及被盜或弱密碼。
　　
　　首先了解一下密碼破解技術。當目標是企業(yè)，個人或公眾時，雖然故事是不同的，但最終結果通常是相同的。因為黑客贏了。
　　
　　從哈希密碼文件中破解密碼
　　
　　如果企業(yè)所設定的密碼很快被破解，通常是其密碼文件已被盜用。一些企業(yè)存有自己的明文密碼列表，而有安全意識的企業(yè)通常以密碼形式保存密碼文件。Verodin公司的首席信息官安全（CISO）BrianContos說，哈希文件可以用于保護域控制器的密碼、LDAP和Active Directory等企業(yè)認證平臺，以及許多其他系統(tǒng)的密碼。
　　
　　這些哈希（包括加鹽哈希）加密不再是非常安全的方式。哈希是擾亂密碼的一種方式，使得文件不能再被他人解密。而如果人們檢查密碼是否有效，在登錄之后，系統(tǒng)會打亂用戶輸入的密碼，并將其與之前已存檔的密碼進行比較。
　　
　　攻擊者手中的密碼文件使用一種“彩虹表”來解密哈希方法簡單的搜索。他們還可以購買專為密碼破解而設計的專用硬件，從亞馬遜或微軟公司等公共云提供商租用空間，建立或租用僵尸網(wǎng)絡來破解密碼。
　　
　　那些本身并不是密碼破解專家的攻擊者可以進行外包。Contos說：“這些人可以租用這些服務幾個小時，幾天甚至幾個星期，而且通常也有技術支持。人們在這個領域將有看到很多專業(yè)化的應用。”
　　
　　Contos表示，破解哈希列密碼只需要一定的時間，即使是以前被認為是十分安全的密碼，其破解時間也不會長達數(shù)百萬年。他說：“根據(jù)我對人們如何創(chuàng)建密碼的經(jīng)驗，通常在不到24小時內，黑客就會破解80％到90％的密碼。如果有足夠的時間和資源，黑客就能夠破解所有的密碼。而不同的只是需要數(shù)小時、數(shù)天或數(shù)周的時間罷了。”
　　
　　對于人類創(chuàng)建的任何密碼而言，實際上不如由計算機隨機生成的密碼。他說，如果用戶需要一些他們保證安全的東西，那么采用一個更長的密碼是很好的做法，但它不能代替強大的多因子身份驗證(MFA)。
　　
　　被盜的哈希文件特別容易受到攻擊，因為所有的工作都是在攻擊者的計算機上完成的。因此沒有必要向網(wǎng)站或應用程序發(fā)送試用密碼，看它是否有效。
　　
　　Coalfire實驗室的安全研究員Justin Angel說：“我們更喜歡采用Hashcat，配備專用的破解機器，并輔以多個圖形處理單元，通過密碼哈希算法來破解密碼列表。使用這種方法在一夜之間破解數(shù)以千計的密碼，這種情況并不罕見。”
　　
　　僵尸網(wǎng)絡實現(xiàn)大規(guī)模市場的攻擊
　　
　　對大型公共場所使用的僵尸網(wǎng)絡攻擊，攻擊者嘗試采用登錄名和密碼的不同組合進行登錄。他們使用從其他站點竊取的登錄憑據(jù)和人們通常使用的密碼進入。
　　
　　利伯曼軟件公司總裁Philip Lieberman表示，這些密碼可以免費獲得或以低成本獲得，其中包括大約40％的互聯(lián)網(wǎng)用戶的登錄信息。他說：“創(chuàng)建了大量數(shù)據(jù)庫的雅虎公司這樣的行業(yè)巨頭都沒有防止數(shù)據(jù)泄露，黑客可以利用這些數(shù)據(jù)謀利。”
　　
　　通常，這些密碼長期保持有效。Preempt Security公司首席技術官Roman Blachman表示：“即使在違約事件發(fā)生之后，許多用戶也不會改變他們已經(jīng)泄露的密碼�！�
　　
　　“例如，黑客想進入銀行賬戶。多次登錄同一帳戶將觸發(fā)警報、鎖定或其他安全措施。所以，他們通常從一個已知的電子郵件地址的名單開始，然后獲取人們使用的最常見的密碼列表�！盢trepid公司首席科學家LanceCottrell說，“他們嘗試采用最常見的密碼登錄到每一個電子郵件地址，而每個賬戶都會經(jīng)歷一次失敗。”
　　
　　“黑客在等待幾天之后，然后嘗試使用另一個最常見的密碼的每個電子郵件地址�！彼�說，“黑客可以使用僵尸網(wǎng)絡中的上百萬臺受感染的電腦進行嘗試，所以目標網(wǎng)站看不到來自單一來源的所有嘗試�！�
　　
　　行業(yè)廠商正在開始解決這個問題。使用LinkedIn，F(xiàn)acebook或Google等第三方認證服務有助于減少用戶必須記住的密碼數(shù)量。而進行雙重身份驗證（2FA）對于主要云供應商以及金融服務站點和主要零售商而言正變得越來越常見。
　　
　　SecureWorks公司安全研究員James Bettke表示，標準制定機構也在加緊實施安全標準。今年六月，美國國家標準與技術研究院（NIST）發(fā)布了一套更新的數(shù)字身份指南，專門處理這個問題。他表示：“密碼復雜性要求和定期重置實際上會導致密碼變弱，而這樣將導致用戶重用密碼，并回收可預測的模式。
　　
　　數(shù)據(jù)安全商VASCO公司的全球法規(guī)和標準總監(jiān)Michael Magrath說，即線上快速身份驗證（FIDO）聯(lián)盟也正致力于推廣強有力的認證標準。他說：“靜態(tài)密碼是不安全的。”
　　
　　除了這些標準之外，還有一些新技術（如行為特征識別技術和面部識別技術）可以幫助提高消費者網(wǎng)站和移動應用程序的安全性。
　　
　　你的密碼被盜了嗎？
　　
　　針對個人用戶，網(wǎng)絡攻擊者檢查用戶的憑據(jù)是否已經(jīng)從其他網(wǎng)站盜取，因為有可能使用相同的密碼或類似的密碼。OpenText公司的高級副總裁兼安全分析總經(jīng)理Gary Weiss說：“幾年前，LinkedIn的數(shù)據(jù)泄露事件就是一個很好的例子。黑客竊取了Facebook創(chuàng)始人馬克•扎克伯格的LinkedIn密碼，并且能夠訪問其他平臺，因為他顯然在其他社交媒體重新使用了這個密碼�！�
　　
　　據(jù)一家提供密碼管理工具提供商Dashlane公司的研究，每個人平均有150個需要密碼的賬戶，這意味著人們要記住太多的密碼，因此大多數(shù)人只使用一個或兩個密碼，有的只是進行一些簡單的變化。但這是一個嚴重的問題。
　　
　　Dashlane公司首席執(zhí)行官Emmanuel Schalit表示：“人們有一個常見的誤解，認為如果有一個非常復雜的密碼，就可以在任何地方使用，并會保持安全，這種想法是完全錯誤的。在這一點上，如果用戶的一個非常復雜的密碼已經(jīng)被盜用，那意味著所有信息可能會全部泄露。”
　　
　　如果某人可能在其銀行或投資賬戶設置一個安全性非常好的密碼，但是如果其gmail郵箱沒有安全的密碼，攻擊者可以進入郵箱，而通過電子郵件進行密碼恢復，攻擊者將擁有你的文件。
　　
　　一旦任何一個網(wǎng)站被黑客入侵，其密碼被竊取，就可以利用它來訪問其他帳戶。如果黑客能夠進入企業(yè)用戶的電子郵件帳戶，他們將在其他地方重置用戶的密碼�！袄�如，如果某人可能在其銀行或投資賬戶設置一個安全性非常好的密碼，但是如果其gmail郵箱沒有安全的密碼，攻擊者可以進入郵箱，而通過電子郵件進行密碼恢復�！盨chalit說，“有一些人遭遇了密碼重置的攻擊�！�
　　
　　如果黑客發(fā)現(xiàn)一個沒有限制登錄嘗試的網(wǎng)站或內部企業(yè)應用程序，也會嘗試使用通用密碼列表、字典查找表和密碼破解工具（如Johnthe Ripper，Hashcat，或Mimikatz）。
　　
　　而對于商業(yè)服務，網(wǎng)絡犯罪分子可以使用更復雜的算法來破解密碼。xMatters公司首席技術官Abbas HaiderAli表示，密碼文件的持續(xù)泄漏將為這些商業(yè)服務提供極大的幫助。
　　
　　人們想到的密碼，如采用符號代替字母，使用巧妙的縮寫或鍵盤模式�；蚩苹眯≌f中不尋常的名字，但這些方法別人也會想到。他說：“不管設置的人有多聰明，人為設置的密碼對于高明的黑客來說都是毫無意義的�！�
　　
　　Ntrepid公司的Cottrell說，密碼破解的應用程序和工具如今已經(jīng)變得非常復雜。他說：“但是人類在選擇密碼方面并沒有得到太多的改善。”
　　
　　對于一個高價值的攻擊目標，攻擊者也將研究可以幫助他們回答安全恢復問題的信息。用戶帳戶通常只是電子郵件地址，他補充說，企業(yè)電子郵件地址很容易被猜測，因為它們是標準化的格式。
　　
　　如何檢查密碼的強度
　　
　　在告知用戶選擇的密碼是否安全方面，大多數(shù)網(wǎng)站做得很差。他們的密碼通常變得過時，而通常采用的是八個字符的長度，大小寫字母，符號和數(shù)字的組合。
　　
　　第三方網(wǎng)站將評估用戶密碼的強度，但用戶對使用的網(wǎng)站應該小心謹慎。Cottrell說：“糟糕的事情是上一個隨機的網(wǎng)站，輸入密碼進行測試�！�
　　
　　但是，如果人們對密碼破解需要多長時間感到好奇，可以嘗試登錄Dashlane公司的網(wǎng)站HowSecureIsMyPassword.net。另一個測量密碼強度的站點是軟件工程師Aaron Toponce的Entropy TestingMeter，用于檢查字典詞匯，詞匯和常見模式。他建議選擇至少70位熵的密碼。他再次建議不要在網(wǎng)站上輸入真實的密碼。
　　
　　對于大多數(shù)用戶來說，他們登錄的網(wǎng)站和應用程序會產生一些想法。用戶期望為每個站點提供獨特的密碼，每三個月更換一次，并且保證安全時間足夠長，并且還記得這些密碼，這可能實現(xiàn)嗎？
　　
　　Cottrell說：“人們選擇密碼的一個經(jīng)驗法則是，如果能記住這個密碼，那么就不是一個好的密碼。當然，如果能記住其中一些密碼的話，那么這些就不是安全的密碼。”
　　
　　他說，使用隨機生成的長度最長的密碼，并使用安全的密碼管理系統(tǒng)進行存儲。他說：“我的密碼保險箱里有超過1000個密碼，幾乎都是20多個字符的長度�！�
　　
　　對于數(shù)據(jù)庫等關鍵密碼，建設使用長密碼。Cottrell說，“這個密碼不應該是一句話，也不應該是任何一本書的內容，對用戶來說是值得紀念意義的就可以。我的建議是，使用具有30個字符的短語，這對暴力破解密碼的工具來說，實際上是不可能破解的�！�
　　
　　Dashlane公司安全負責人Cyril Leclerc的表示，對于網(wǎng)站或應用程序的個人密碼，20個字符是合理的長度，但前提是這些字符是隨機的。他說：“破解者可以破解20個字符的人為設置的密碼，但不會破解隨機生成的密碼，即使有人擁有能力無限的未來計算機，黑客也有可能只破解一個密碼，而且在這項任務上花費了大量的時間，這樣做將會得不償失�！�