云計算服務給密碼保護造成的新挑戰
不過據安全專家David Campbell的計算,即便用戶不使用安全專家建議的大小寫字母混合式的密碼組合,使用亞馬遜提供的云計算服務進行密碼暴力破解的黑客,出于成本過高的原因可能也將無法使用這種服務對具備12位長度的密碼進行破解。
目前,亞馬遜公司為用戶提供一種名為EC2的云計算網絡服務,這種服務按小時計費.而如果要利用這種服務來暴力破解長度為12位的密碼,黑客需要為此支付150萬美元以上金額的服務費。不過如果密碼的長度縮短為11位,那么便只需要不到6萬美元服務費即可,而10位密碼則需要支付不到2300美元的費用。
按照傳統的安全建議,在密碼中采用大小寫字母混搭的形式更為安全一些,但根據最近的研究,其提升的安全等級并不如我們所想像得那么大,而密碼的位數對密碼安全性的提升作用則更大一些。采用這種混搭形式的10位密碼只需要支付不到6萬美元的服務費,便可以利用EC2云計算服務暴力破解成功。而11位這樣的密碼則需要花費210萬美元。而如果密碼的長度較短,即使用戶在設置密碼時采用諸如“!@#$%”這類生僻字符,暴力破解密碼同樣比較容易。采用EC2計算8位長度的這種密碼的費用大約是10.6萬美元左右。
這篇分析文章的全文可以點擊這個鏈接進行查閱。這篇文章以今年早些時候SensePost的安全顧問Haroon Meer在“黑帽”大會上所作的研究報告為基礎。在這篇文章中,Campbell向我們介紹了一種利用亞馬遜EC2云計算服務來暴力破解并竊取用戶信用卡密碼的方法。
“由于黑帽組織已經開始利用云計算等超級計算服務開展破解行動,因此我們這批負責安全管理的技術人員需要重新考慮一些過去被我們忽視的安全細節。黑客們竊取了用戶的信用卡后,可以利用這些卡里的錢來購買計算能力強勁的機器,這些機器的威力甚至比國家安全機關中裝備的超級計算機還強。”
盡管亞馬遜向單獨一名用戶提供的云計算服務計算能力有限,但黑客們也有對應的辦法,他們可以利用竊取的多個信用卡賬號同時登陸云計算服務,讓這些計算同時進行。
Cambell在這次的假設中采用了一種很簡單的算法:
在計算暴力破解由8位全小寫字母組成的密碼的費用時,他簡單地將暴力破解的次數設為26的8次方,這樣,加上大寫字母以及10個阿拉伯數字后,暴力破解的次數則變為(26+26+10)的8次方。而他的密碼破解軟件則每個小時可以暴力計算出93.6億個密碼,將62的8次方除以93.6億,然后再乘以EC2服務的服務費,每小時30美分,這樣暴力破解8位全小寫字母密碼的費用計算式便為:((26+26+10)^8/ 9,360,000,000) * .30.
而暴力破解由12位大小寫字母+阿拉伯數字組成密碼所需的費用則為((26+26+10)^12 / 9,360,000,000) * .30
使用云計算服務來替代在公司里設立維護大量服務器,顯然對節省企業的成本有利。不過現在看來從云計算服務中受惠最大的恐怕是黑客等群體。
不久以前,安全專家還對102位的RSA密碼長度剛到放心。但隨著電腦技術的發展,現在愿意使用2048位密碼長度的安全專家數量也越來越多。而現在云計算也開始加入到為密碼破解技術提供服務的陣營中去,是時候對一些傳統的安全措施進行重新考慮和修改了。
【編輯推薦】
