企业不能仅仅存储用户密码的加密哈希并认为它们受到了保护

2020-03-05 16:38:54 来源: INeng财经

网络攻击者可以使用各种工具来启动其战役,例如扫描网站和应用程序中的漏洞,制作恶意电子邮件以及启动按下载下载的Web门户。Imperva在一份报告中说,他们拥有越来越多的信息和自动密码破解工具,可以破坏系统和网络。

Imperva研究人员在12月14日发布的每月《黑客情报计划》报告中写道,网络攻击者可以更方便地访问彩虹表和词典,以帮助他们破解密码。组织必须加强密码安全措施,以防止攻击者成功猜测密码和Imperva说。

Imperva分析了电影发烧友网站FilmRadar.com上因数据泄露而暴露的近100,000个密码的列表。该网站使用SHA1哈希函数存储了用户密码,SHA1哈希函数是一种用于保护应用程序安全的常用方法,但还不够。Imperva发现,加密散列的强度无关紧要,因为攻击者可以绕过保护措施并猜测密码是什么。

Imperva研究人员在报告中写道:“与通常的看法相反,无论是SHA-1还是任何其他加密功能,加密散列函数都不受黑客的欢迎。”

Imperva说,利用彩虹表和字典的密码破解工具已经很容易获得,而且大多数人都可以免费下载。报告称,一些流行的破解工具包括MD5解密器,Cyber​​war Zone,Cain and Able和Ripper John。许多工具还依靠黑客论坛作为请求和获取其他表和词典的方式。

Imperva研究人员写道:“有了足够的决心,黑客就可以轻松找到用于破解密码的工具和多个词典。”

Rainbow表包含已为大量字母数字文本预先计算的哈希值。尽管创建这些表通常是一个漫长的过程,但是一旦创建,它们就可以一次又一次地重复使用。如果攻击者具有用于特定服务的密码的哈希值,则要做的就是在表中查找哈希值并找到相应的字母数字字符串。Imperva找到了一个黑客网站,该网站制作了一个彩虹表,向公众提供超过500亿个哈希值。

强大的密码-包含多种字符类型的密码(例如小写和大写字母,数字和特殊字符以及长密码),使得在彩虹表中查找哈希值在计算上很困难。但是,研究人员最近发现,利用云的功能,例如从Amazon Elastic Compute Cloud(EC2)租用计算资源,可以减少所需的时间。

词典的相似之处在于,它们列出了具有预先计算的哈希值的常用密码。基于字典的攻击之所以有效,是因为人们仍在使用简单且通用的密码,例如“ Hello123”和“ abcd123”。

Imperva针对FilmRadar密码运行了一些公开可用的工具。报告称,该团队使用托管在在线服务上的彩虹表,在不到10分钟的时间内发现了100个最受欢迎的密码中的77个。列表中最常见的100个密码占列表的10%。在不到两天的时间内,使用字典猜出了将近5%的密码。Imperva说,尽管这是一个缓慢的过程,但黑客仍可以使用多个词典来找出密码。

Imperva研究人员说:“当消费者实施良好的密码时,我们会放弃。而不是消费者,企业有责任制定适当的密码安全策略和程序,作为全面数据安全规程的一部分。” Imperva表示,即使PCI和其他法规不适用,IT和安全团队也应将密码视为非常有价值的数据。

Imperva建议企业不要仅依赖加密散列,而要对条目“加盐”以防止彩虹表攻击。盐值是在加密之前添加到密码开头的随机值,这使得破解密码更加困难。根据Imperva的说法,只有三位长度的盐会使彩虹表的存储和预计算时间增加八倍。

企业应使用更容易记住的口令短语和更长的密码。密码短语会产生较长的密码,但用户无需担心将其写到Post-It上。还应通过将密码与攻击者使用的相同词典进行比较来加强密码的安全性。Microsoft最近在其Hotmail Webmail服务上禁止了通用密码。

Imperva说:“建议用户选择强密码。其余的取决于企业。”

“ Imperva企业密码最差做法 ”报告是在2009年早些时候发布的有关不良消费者密码做法的报告之后提出的。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。