密碼設(shè)置需避開的誤區(qū)

周尚彩

互聯(lián)網(wǎng)給人們的生活帶來便利的同時(shí)，也讓網(wǎng)絡(luò)安全、信息安全成為當(dāng)下熱議的話題。比如，數(shù)據(jù)泄露或密碼泄露問題都給大眾帶來了極大擔(dān)憂。就密碼管理而言，如今許多公司都會(huì)制定密碼管理策略，但是在制定密碼管理策略時(shí)，哪些常見的問題需要引起高度關(guān)注。

雖然現(xiàn)在身份驗(yàn)證技術(shù)已經(jīng)更加成熟，但是密碼仍然是保護(hù)最敏感信息的主要途徑。密碼是防御潛在入侵者試圖模仿另一個(gè)用戶的第一道防線，但這樣的防護(hù)往往比較弱。用戶通常想創(chuàng)建易于記憶的密碼，使用出生日期或紀(jì)念日，甚至寫下來。而開發(fā)人員則想盡可能少地投入密碼管理策略中。畢竟，研發(fā)新功能比密碼管理和存儲(chǔ)更令人興奮、有趣。

許多密碼本身安全性非常弱，很容易猜得到，攻擊者就會(huì)有機(jī)可乘。最糟糕的是，我們信任的密碼存儲(chǔ)系統(tǒng)和其它關(guān)鍵信息的系統(tǒng)也面臨著許多安全挑戰(zhàn)。黑客會(huì)反復(fù)嘗試密碼數(shù)據(jù)庫進(jìn)行盜竊，攻擊者同伙經(jīng)常會(huì)破壞那些保護(hù)數(shù)據(jù)的模式。

我們探討一下公司在密碼管理策略方面做出的一些常見錯(cuò)誤，將提到在線攻和離線攻。在線攻擊是對(duì)應(yīng)用程序登錄頁面的攻擊，攻擊者試圖猜測用戶密碼；離線攻擊是攻擊者獲取密碼數(shù)據(jù)庫副本，并嘗試計(jì)算存儲(chǔ)在其中的用戶密碼的攻擊。

限制用戶可以使用的字符數(shù)量或種類

推理：安全人員反復(fù)告訴開發(fā)人員驗(yàn)證所有輸入以防止各種攻擊（例如，注入攻擊）。因此，根據(jù)某些規(guī)則來制定驗(yàn)證密碼的規(guī)則是一個(gè)好主意。

攻擊：限制密碼中字符數(shù)量或種類的問題是減少了可能的密碼總數(shù)。這使得在線和離線攻擊更容易。如果只允許在密碼中使用特殊字符！和@，那也就知道用戶密碼沒有包含#，$，%，<和>等字符。此外，如果只允許長度為8到12個(gè)字符的密碼，也就知道所有用戶都沒有使用13個(gè)字符或更長的密碼。如果想猜測用戶密碼，這些規(guī)則可以讓工作變得更輕松。

但是SQL注入、跨站點(diǎn)腳本、命令注入和其它形式的注入攻擊呢？如果遵循密碼存儲(chǔ)最佳做法，在收到密碼后立即計(jì)算密碼的哈希值。然后，只處理哈希密碼，不必?fù)?dān)心注入攻擊。

防御：允許用戶選擇包含任意字符的密碼。指定最小密碼長度為8個(gè)字符，但在可行的情況下允許任意長度的密碼（例如，將它們限制為256個(gè)字符）。

使用密碼組合規(guī)則

推理：大多數(shù)用戶選擇容易猜到的密碼?？梢酝ㄟ^讓用戶選擇包含幾種不同類型字符的密碼，以強(qiáng)制用戶選擇難以猜測的密碼。

攻擊：安全專業(yè)人員曾經(jīng)認(rèn)為，讓用戶選擇包含各種字符類型的密碼會(huì)增強(qiáng)密碼的安全性。不幸的是，研究表明這通常沒有幫助?！癙assword1！”和“P @ ssw0rd”可能遵循了許多密碼組合規(guī)則，但這些密碼并不比“password”更強(qiáng)。密碼組合規(guī)則只會(huì)讓用戶難以記住密碼，它們不會(huì)讓攻擊者的工作變得更加困難。

防御：擺脫密碼組成規(guī)則。在應(yīng)用程序中添加密碼復(fù)雜性檢查功能，告訴用戶他們的密碼選擇是否明顯強(qiáng)度偏弱。但不要強(qiáng)制用戶在密碼中添加數(shù)字、特殊字符等。我們將討論如何使應(yīng)用程序更安全，以防止安全性弱的用戶密碼被攻擊。

沒有安全存儲(chǔ)密碼

推理：加密哈希函數(shù)是單向函數(shù)。因此，存儲(chǔ)哈希密碼應(yīng)該可以防止攻擊者計(jì)算出它們。

攻擊：與前面討論過的兩個(gè)問題不同，這個(gè)問題通常只與離線攻擊有關(guān)。許多企業(yè)和組織的密碼數(shù)據(jù)庫都被盜了。當(dāng)掌握了被盜密碼庫和強(qiáng)大的計(jì)算能力，攻擊者通常可以計(jì)算出許多用戶的密碼。

存儲(chǔ)密碼的常用方法是使用加密哈希函數(shù)，對(duì)密碼進(jìn)行哈希處理。如果最終用戶選擇完全隨機(jī)的20+字符密碼，這種方法將是完美的。例如密碼設(shè)成：/K`x}x4%（_.C5S^7gMw），但人們很難記住這些密碼。如果簡單地對(duì)密碼進(jìn)行哈希處理，那么使用彩虹表攻擊就很容易猜到用戶選擇的典型密碼。阻止彩虹表攻擊通常需要在對(duì)每個(gè)密碼進(jìn)行散列之前添加隨機(jī)“鹽”?！胞}”可以與密碼一起存儲(chǔ)在清除中。不幸的是，加鹽的哈希并沒有多大幫助。GPU非常擅長快速計(jì)算加鹽哈希值。能夠訪問大量加鹽哈希和GPU的攻擊者將能夠使用暴力破解和字典攻擊等攻擊合理且快速地猜測到密碼。

有太多不安全的密碼存儲(chǔ)機(jī)制，值得專門去探討。不過，我們先來看看如何存儲(chǔ)密碼。

防御：有兩種主要機(jī)制可以防止攻擊者：一種是使哈希計(jì)算更加昂貴，另一種是向哈希添加一些不可估測的東西。

為了使哈希計(jì)算更加昂貴，請(qǐng)使用自適應(yīng)哈希函數(shù)或單向密鑰派生函數(shù)，而不是密碼哈希函數(shù)來進(jìn)行密碼存儲(chǔ)。加密哈希函數(shù)的一個(gè)特性是它們可以被計(jì)算出來，這個(gè)屬性導(dǎo)致它們不適合用于密碼存儲(chǔ)。攻擊者可以簡單地猜測密碼并快速散列以查看生成的哈希值是否與密碼數(shù)據(jù)庫中的任何內(nèi)容匹配。

另一方面，自適應(yīng)哈希函數(shù)和單向密鑰導(dǎo)出函數(shù)具有可配置的參數(shù)，這些參數(shù)使哈希計(jì)算更加資源密集。如果使用得當(dāng)，它們有助于充分減緩離線攻擊，以確保您有時(shí)間對(duì)正在受到攻擊的密碼數(shù)據(jù)庫做出反應(yīng)。

這種方法的問題在于，每次在對(duì)用戶進(jìn)行身份驗(yàn)證時(shí)，都必須自己計(jì)算這些哈希值。這會(huì)給服務(wù)器帶來額外負(fù)擔(dān)，并可能使應(yīng)用程序更容易受到DoS（拒絕服務(wù)）攻擊。

您可以添加一些不可猜測的密碼哈希值。例如，要生成一個(gè)長隨機(jī)密鑰，將其添加到密碼哈希值以及唯一的隨機(jī)鹽，并且穩(wěn)妥地保護(hù)密鑰，那么被盜密碼數(shù)據(jù)庫對(duì)攻擊者來說將毫無用處。攻擊者需要竊取密碼數(shù)據(jù)庫以及能夠使用離線攻擊計(jì)算出用戶密碼的密鑰。這也產(chǎn)生了一個(gè)需要解決的非常重要的密鑰管理問題。

您完全依賴密碼

推理：密碼必須是驗(yàn)證用戶身份的好方法。其他人都在使用它們。

攻擊：即使用戶執(zhí)行上述所有操作，使在線和離線攻擊更加困難，也無法阻止其它應(yīng)用程序/網(wǎng)站執(zhí)行不恰當(dāng)?shù)牟僮鳌Ｓ脩艚?jīng)常在許多站點(diǎn)上重復(fù)使用相同的密碼。攻擊者會(huì)在某平臺(tái)嘗試從其它平臺(tái)盜取密碼。

用戶成為網(wǎng)絡(luò)釣魚攻擊的受害者，因?yàn)橐恍┯脩魺o論密碼要求如何都會(huì)選擇安全性弱的密碼等。

防御：要求用戶使用多因素身份驗(yàn)證登錄。請(qǐng)記住多因素身份驗(yàn)證的含義：使用至少兩種不同因素進(jìn)行身份驗(yàn)證（典型因素、擁有的物品以及生物識(shí)別等）。使用兩種不同的密碼（例如，密碼+安全問題的答案）不是多因素身份驗(yàn)證。同時(shí)使用密碼和動(dòng)態(tài)口令屬于多因素驗(yàn)證的一種。請(qǐng)記住，某些多因素身份驗(yàn)證機(jī)制比其它多因素身份驗(yàn)證機(jī)制更安全（例如，加密設(shè)備比基于SMS的一次性密碼更安全）。無論如何，使用某種形式的多因素身份驗(yàn)證總是比僅依靠密碼更安全。

如果必須僅使用密碼進(jìn)行身份驗(yàn)證，用戶還必須采取某種類型的設(shè)備身份驗(yàn)證。這可能涉及設(shè)備/瀏覽器指紋識(shí)別，檢測用戶是否從不尋常的IP地址登錄，或類似的方式。

如您所見，處理用戶密碼時(shí)需要考慮很多事項(xiàng)。我們還沒有談到密碼輪換策略、帳戶鎖定、帳戶恢復(fù)、速率限制以及防止反向暴力攻擊等。

有一個(gè)很重要的問題需要考慮：是否可以將用戶身份驗(yàn)證轉(zhuǎn)給其他人？如果是一家金融機(jī)構(gòu)，答案可能是否定的；如果您要把最新的貓咪寵物視頻給別人看，在此之前需要驗(yàn)證，那這種情況下答案應(yīng)該是可以的；如果正在開發(fā)面向企業(yè)員工內(nèi)部使用的應(yīng)用程序，請(qǐng)考慮基于SAML的身份驗(yàn)證或LDAP集成；如果正在開發(fā)面向公眾的應(yīng)用程序，請(qǐng)考慮使用社交登錄（即使用Google，F(xiàn)acebook等登錄）。許多社交網(wǎng)站已經(jīng)投入大量精力來保護(hù)身份驗(yàn)證機(jī)制，并為用戶提供各種身份驗(yàn)證選項(xiàng)。您不需要全盤重來。

在不必要的情況下，實(shí)施用戶身份驗(yàn)證會(huì)給企業(yè)和用戶帶來麻煩，甚至有潛在危險(xiǎn)。創(chuàng)建安全的用戶驗(yàn)證機(jī)制困難且耗時(shí)。可真想要處理被盜用的密碼數(shù)據(jù)庫，還是攻擊者在身份驗(yàn)證機(jī)制中發(fā)現(xiàn)漏洞？而且用戶有更重要的事情要做，而不是記住另一個(gè)密碼。