扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:赛迪网 来源:赛迪网 2007年10月6日
关键字:
在本页阅读全文(共3页)
那么,使用穷举攻击来破解这些密码到底需要多少时间呢?这里我就不再重复所有的数学公式以及情景了,你可以参考《破解密码需要多久?》这本书,该书针对这个问题进行了详细解说。根据这篇文章的观点,最高可能需要210年来尝试8位密码的所有可能组合(可用字符是键盘上的所有字符)。对任何人来说,花两个世纪来破解一个密码是没有任何意义的。这就是穷举攻击的明显弱点,因此那些黑客们开发了新的技术,包括分布式计算处理技术以及Cryptanalytic Time-Memory Trade-Off技术。
分布式处理技术让破解更快捷
黑客们对开发更快攻击手段的尝试开始于使用分布式处理模型。我们可以找到很多该技术的典型例子,比如SETI@Home还有Folding@Home。这些工程利用睡眠状态计算机的屏幕保护程序来进行复杂计算。这种概念也在被称为分布式john或者djohn的分布式密码破解机中使用。那个站点的一位专家解释了该过程:
“有了分布式John(djohn)你就可以使用多台机器来破解密码,这样就比用一台机器快得多。具体的破解工作由每台机器自己完成,而djohn的服务器(djohnd)则将工作划分成工作包,并协调客户端的工作(djohn),这些客户端也就是负责具体工作的那些机器。”这种方法让黑客们获得了几乎是不受限制的破解能力。似乎唯一的限制就在于他们能够获得多少台计算机来完成这项工作。
Cryptanalytic Time-Memory Trade-off更有效
最终,人们发现我们没有必要重复进行这些冗长的计算。换句话说,为什么要反复做同样的事情呢?为什么不就做一次然后把结果保存下来,以供下次使用呢?这个想法最终导致了 Cryptanalytic Time-Memory Trade-Off概念的诞生。由于篇幅有限,在此我就不赘述该概念了,不过需要指出的是,该概念接着引出了密码破解用的Rainbow Tables的实现。Rainbow tables使用存储在一个查询表格中的已经生成好的密码哈希表。因此,人们只需要创建一次,然后就可以把它存储起来备用。但是,这种方法也有些难点:
创建这些表格仍然需要很多时间。Rainbow Tables还是用分布式处理的应用程序来解决的这个问题。该项工程需要的存储量非常大(数百G)。以前,这么大容量的硬盘非常昂贵,但是现在,500GB的硬盘只要100多美元就可以了。
未来还可能出现哪些威胁?
随着技术的进步以及众多新点子的诞生,我们面临的风险也随之升级。一些比较严重的威胁包括:
摩尔定律:摩尔定律指出,芯片上晶体管的数量每两年翻一番。这就导致CPU越来越快、计算处理能力越来越强。我们还有了双核处理器,这又将cpu的处理能力提升了数倍。Intel甚至宣称他们正在进行80核cpu的实验。尽管现在我们还用不上80核的cpu,但是有人预计5年之内人们就可以用上它了。
高端显卡:如今的显卡都是用双核处理器的,并且都是自带RAM的。ATI和nVidia都发布了一些开发套件,用这些套件人们可以开发利用这些强大的处理器的程序。
游戏主机:比高端显卡功能更强大的就是PS3游戏主机了。PS3可以联接到网络并且处理器的能力更强。Folding@Home已经使用了这种技术。我们可以从性能比较的结果中看到这一点。它简略显示了这两个平台与各种PC平台处理能力的对比。黑客们把这些技术用于破解密码或者其他破解工作只是时间问题。
如何防御?
我认为下一步我们显然应当实现某种形式双重验证。尽管有很多实现的方法,成本最低而且性价比最高的方法就是分发随机验证码,比如RSA securID。这是比较著名的一种解决方案但对那些小的组织来说,这种方案的性价比可能不是很高。但是,Paypal最近实现了一种类似的解决方案(Paypal安全密钥),他们向用户收取的一次性费用是5美元。
还有一些其他的方法和产品,企业和政府也应当开始评估他们的选择。现在危机每天都在增长,并且很快单用密码就无法提供足够的保护功能了。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。