技术的进步使密码越来越起不了防护作用

那么，使用穷举攻击来破解这些密码到底需要多少时间呢？这里我就不再重复所有的数学公式以及情景了，你可以参考《破解密码需要多久？》这本书，该书针对这个问题进行了详细解说。根据这篇文章的观点，最高可能需要210年来尝试8位密码的所有可能组合（可用字符是键盘上的所有字符）。对任何人来说，花两个世纪来破解一个密码是没有任何意义的。这就是穷举攻击的明显弱点，因此那些黑客们开发了新的技术，包括分布式计算处理技术以及Cryptanalytic Time-Memory Trade-Off技术。

分布式处理技术让破解更快捷

黑客们对开发更快攻击手段的尝试开始于使用分布式处理模型。我们可以找到很多该技术的典型例子，比如SETI@Home还有Folding@Home。这些工程利用睡眠状态计算机的屏幕保护程序来进行复杂计算。这种概念也在被称为分布式john或者djohn的分布式密码破解机中使用。那个站点的一位专家解释了该过程：

“有了分布式John（djohn）你就可以使用多台机器来破解密码，这样就比用一台机器快得多。具体的破解工作由每台机器自己完成，而djohn的服务器（djohnd）则将工作划分成工作包，并协调客户端的工作（djohn），这些客户端也就是负责具体工作的那些机器。”这种方法让黑客们获得了几乎是不受限制的破解能力。似乎唯一的限制就在于他们能够获得多少台计算机来完成这项工作。

Cryptanalytic Time-Memory Trade-off更有效

最终，人们发现我们没有必要重复进行这些冗长的计算。换句话说，为什么要反复做同样的事情呢？为什么不就做一次然后把结果保存下来，以供下次使用呢？这个想法最终导致了 Cryptanalytic Time-Memory Trade-Off概念的诞生。由于篇幅有限，在此我就不赘述该概念了，不过需要指出的是，该概念接着引出了密码破解用的Rainbow Tables的实现。Rainbow tables使用存储在一个查询表格中的已经生成好的密码哈希表。因此，人们只需要创建一次，然后就可以把它存储起来备用。但是，这种方法也有些难点：

创建这些表格仍然需要很多时间。Rainbow Tables还是用分布式处理的应用程序来解决的这个问题。该项工程需要的存储量非常大（数百G）。以前，这么大容量的硬盘非常昂贵，但是现在，500GB的硬盘只要100多美元就可以了。

未来还可能出现哪些威胁？

随着技术的进步以及众多新点子的诞生，我们面临的风险也随之升级。一些比较严重的威胁包括：

摩尔定律：摩尔定律指出，芯片上晶体管的数量每两年翻一番。这就导致CPU越来越快、计算处理能力越来越强。我们还有了双核处理器，这又将cpu的处理能力提升了数倍。Intel甚至宣称他们正在进行80核cpu的实验。尽管现在我们还用不上80核的cpu，但是有人预计5年之内人们就可以用上它了。

高端显卡：如今的显卡都是用双核处理器的，并且都是自带RAM的。ATI和nVidia都发布了一些开发套件，用这些套件人们可以开发利用这些强大的处理器的程序。

游戏主机：比高端显卡功能更强大的就是PS3游戏主机了。PS3可以联接到网络并且处理器的能力更强。Folding@Home已经使用了这种技术。我们可以从性能比较的结果中看到这一点。它简略显示了这两个平台与各种PC平台处理能力的对比。黑客们把这些技术用于破解密码或者其他破解工作只是时间问题。

如何防御？

我认为下一步我们显然应当实现某种形式双重验证。尽管有很多实现的方法，成本最低而且性价比最高的方法就是分发随机验证码，比如RSA securID。这是比较著名的一种解决方案但对那些小的组织来说，这种方案的性价比可能不是很高。但是，Paypal最近实现了一种类似的解决方案（Paypal安全密钥），他们向用户收取的一次性费用是5美元。

还有一些其他的方法和产品，企业和政府也应当开始评估他们的选择。现在危机每天都在增长，并且很快单用密码就无法提供足够的保护功能了。