HackerNews 编译,转载请注明出处:
你觉得自己的密码很安全,因为它有 8 个字符长,还混了一两个数字?根据 Specops 的新分析,近 99% 的泄露密码都弱到几分钟就能被破解。
要是你觉得把狗的名字和末尾加个 “1234” 的巧妙组合无懈可击,那可得再想想了。Specops 的最新研究显示,98.5% 的现实世界泄露密码客观上都是弱密码。没错,这可能包括你的密码。
Specops 的网络安全团队分析了 1000 万个真实密码,这些密码来自一个包含超过 10 亿个泄露凭证的庞大数据库。随后,团队将这 1000 万个密码绘制在了一张长度与复杂度的热图上。
只有 1.5% 的密码能进入 “强” 密码区域,其定义为至少 15 个字符长,且使用两种或更多字符类型。样本中只有 3.3% 的密码长度超过 15 个字符。这意味着,绝大多数密码用一台便宜的 GPU 设备就能瞬间破解。
在泄露的密码中,最常见的是 8 个字符长、仅包含两种字符类型的密码,比如 “Summer22” 或 “Office99”。
约 8% 的密码都属于这种极度基础的危险区域。紧随其后的是 8 个字符长、仅包含一种字符类型的密码(比如全是小写字母),这部分又占了 7.6%。
为什么弱密码是个问题?
- 它们是易受攻击的目标:弱密码往往是攻击者的首个入口。一旦侵入,黑客就能在网络中游走、提升权限、提取敏感数据,而且往往不会触发安全警报。密码重用会放大风险:大多数员工要管理几十个登录账号,密码重用很常见。一个系统的泄露可能导致内部工具、数据库甚至关键管理员控制台被访问。它们违反法规:像 GDPR、HIPAA 和 PCI DSS 这样的数据保护法要求安全的认证实践。弱密码或重用密码达不到这些标准,可能会导致罚款、审计和法律后果。暴力破解工具比以往更快:如今的硬件每秒能尝试数十亿次猜测。以前需要几天的事,现在几分钟就能完成,尤其是对于 10 个字符以下的密码。加密不能解决所有问题:哈希和加盐能提高密码安全性,但无法弥补糟糕的选择。弱密码即使加密了,仍然容易被破解。大规模攻击很常见:黑客经常使用僵尸网络发起分布式攻击,绕过速率限制等安全措施。这些方法能对跨服务的密码进行大量测试,增加成功破解的几率。
为什么 15 个字符以上成了新的最低要求?
尽管进行了十年的安全意识培训、发布了钓鱼警告,还有关于俄罗斯僵尸网络的报道,人们和组织仍然允许弱密码进入他们的系统。
“很多用户仍然选择弱的、容易被猜到的组合,网络罪犯几秒就能破解。”Specops 的高级产品经理达伦・詹姆斯说。
有了 GPU 驱动的设备和云破解服务,对于在破解过程中计算密码可能性的攻击者来说,12 个字符以下的密码都是唾手可得的目标。
增加复杂度,比如使用符号或大小写混合,能提高熵值,减缓暴力破解攻击。不过,更新后的 NIST 指南现在更强调长度。这意味着,使用 16 到 20 个字符的密码,远比依赖特殊符号或随机大写字母要好。
15 个字符或更长,且至少包含两种不同字符类型(字母、数字、符号),能将可能的组合数提升到数万亿甚至更多。这些数字会让即使是高端的破解设备也倍感吃力,将预期的破解时间从几小时延长到几年甚至几个世纪。
要创建强密码,可以使用密码生成器和密码管理器来安全管理不同平台的访问权限。
消息来源: cybernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
