单因素验证已经过时

来源: 51CTO   
2013/10/23 15:24:51
我们必须明白的是:只要有时间和运算资源,没有任何一种加密方法是绝对安全的。

本文关键字: 单因素验证 管理密码

今年年初,某知名云端记事软件厂商惊传数据遭到窃取,迫使该公司重设5 ,000万名用户的密码,并紧急通知用户再次设定新密码。随后,该公司宣布采用双重验证(two-factor authentication)来保护用户数据。

其它同样在验证方法上已做改变的公司,包括Amazon、Apple、Dropbox、eBay、Facebook、Google和Microsoft。根据TechNavio的调查显示,全球双重验证市场在2011至2015年预计可成长20 . 8 %;MarketsandMarkets的市场调查报告则指出,多重验证市场在2017年将达54亿5,000万美元;此外,Fortinet自有双重验证产品FortiAuthenticator,最近呈现3位数的增长,这些迹象无疑显示这已是一个双重验证的新时代。

单因素验证已经过时

为何单因素(single-factor)验证的方法已经过时?以往网络威胁的攻击方式不像现在如此多元,处理器的运算能力也不够强。但如今,网络罪犯拥有更精巧的密码破解工具,以及无比强大的处理器,最重要的是:24小时连网的计算机到处都是,这些都使得传统采用明文(plain text)的密码形态,成为非常容易攻击的目标。

此外,随着云端密码破解服务的出现(例如利用分布式计算机运算的Cloud Cracker),让尝试300万次的密码破解只需不到20分钟,而且只花费17美元。这意味即使是更周全、加过密的密码,也只需要一点耐心就能破解。

目前有四种管理密码的方法,但没有一种是无懈可击的:

1.明文:这种密码管理方式非常危险,因为黑客只需窃得一个明文的密码文件,就能轻易地扫荡整个服务器的用户密码。澳洲税务局(ATO; Australian Tax Office)、英国通信总部(GCHQ)以及零售商Tesco,都曾发生过数据遭窃事件,最后都坦承是以明文的方式储存密码。

2.基本加密:这种方法是加密和储存个别的密码,即哈希加密过(hashed)的档案,例如透过MD5或SHA1来运算。不过,一个只是哈希加密过一次的档案若被偷走,也不会比明文密码安全多少。因为CPU处理速度越来越强,新的密码破解软件越来越容易取得,加上lookup(函数)和Rainbow table(数据结构表)的查表法攻击方式,使得解开hash加密过的档案只是迟早的问题,取决于运算的资源和时间而已。

3.随机字符串加密:这种方法是在每个密码中加入一个字符串后再进行加密,如此可以防止黑客取得运算前的储存值,使其无法查询比对(又称为Salted hash)。Salted hash当然也不是万无一失,因为如果加的「salt」太短,或是同样的料已经被使用加在所有的密码里,那么就可能相对地容易将它们破解开来。

4.多重加密:这指的是「再次加密」已经加过密的密码值,也就是延伸(stretching)再加密,让一个密码被加密多次。不过,这样的方法能否增强安全性仍有所争论。

Salted hash加密或是延伸再加密,就短期而言,是比单纯的明文或只加密一次的密码来得安全。然而,如果充份利用今日无比强大的CPU效能,那么结果只是何时被破解,而不在于哪一种加密方法会被破解。我们必须明白的是:只要有时间和运算资源,没有任何一种加密方法是绝对安全的。

责编:王雅京
vsharing微信扫一扫实时了解行业动态
portalart微信扫一扫分享本文给好友

著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
网络安全热点透析

随着移动互联、大数据、云计算、物联网等技术的日益发展,在这些热点技术为个人生活带来便利的同时,也为企业发展..

数据安全医药行业解决方案

采用身份鉴别、访问控制、数据加密以及权限控制等多种安全防护技术手段,保障数据库中医药数据只能被合法用户合规..

    畅享
    首页
    返回
    顶部
    ×
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918