译者 | 布加迪
审校 | 重楼
安全专家一直建议我们创建复杂的强密码,以保护我们的在线账户和数据免受狡猾的网络犯罪分子的攻击。“复杂”通常意味着使用大小写字母、数字,甚至特殊符号。但是据安全公司Hive Systems的研究显示,如果密码所含的字符不够多,密码的复杂性本身仍然不足以避免密码被破解。
Hive在2023年4月的一份报告中发现,如果攻击者能利用最新的图形处理技术和人工智能,8个字符长的复杂密码可以在5分钟内被破解。此外,7个字符长的复杂密码可以在4秒内破解,而6个字符或更短的密码可以立即被破解。只有一两种字符的较短密码(比如只有数字或小写字母,或者只有数字和字母)也可以在瞬间被破解。
从好的方面来看,据Hive的报告显示,如果字符数比较多,即使较简单的密码也不太容易在短时间内被破解。只有数字的18个字符长的密码需要6天才能破解,但是使用小写字母的同样18个字符长的密码需要481000年才能破解(见图A)。这则数据说明了为什么使用一长串真实但随机的单词的密码短语比复杂的短密码来得安全。
图A. Hive的报告显示,由18个大小写字母、数字和符号组成的密码短语是最难被蛮力破解的
图片来源:Hive Systems
如果黑客想快速破解复杂而简短的密码,需要最新最先进的图形处理技术。图形处理单元的功能越强大,它执行挖掘加密货币和破解密码等任务的速度就越快。
比如说,目前市面上的顶级GPU之一是英伟达的GeForce RTX 4090,该产品起价为1599美元。但是连功能较弱、价格较便宜的GPU也可以在比较短的时间内破解较短、不太复杂的密码。
据Hive声称,计算机上没有最新最好的图形处理系统的黑客可以轻松求助云计算。通过亚马逊AWS及其他云提供商租用计算机和图形硬件,网络犯罪分子就可以利用功能强大的GPU的多个虚拟实例,以很低的成本破解密码。
此外,AI领域的进步为黑客提供了另一种更快速更高效地破解密码的工具。Home Security Heroes在2023年4月的一份报告分析1560万个常见密码后发现,如果黑客使用AI,可以在不到一个月的时间内破解其中81%的密码,在不到一天的时间内破解71%的密码,在不到一小时的时间内破解65%的密码,在不到一分钟的时间内破解51%的密码。
由于图形芯片和AI技术领域的进步,大多数类型的密码需要破解的时间比两年前要短。比如说,一个由字母、数字和符号组成的7个字符长的密码在2020年需要7分钟才能破解,而在2023年只需要4秒就能破解。鉴于技术方面的这些进步,您和贵组织如何更好地保护由密码保护的帐户和数据?这里有几个建议。
密码短语通常是由随机单词组成的长串字符。密码短语常常比密码来得安全,通常更容易记住。比如说,“sunset-beach-sand”使用单词和破折号将每个单词分开,需要20亿年才能破解。
由于自行创建和记住多个复杂而冗长的密码不太现实,密码管理器是您最好的选择。通过为自己或贵组织使用密码管理器,您可以为网站和在线帐户生成、存储和运用强密码。
如果您的确采用密码管理器,希望尽可能有效地保护所存储的密码。为此,可以借助强主密码。创建一个易于记住的复杂而冗长的密码或密码短语。
若要测试潜在密码的强度,可以在Security.org等网站上输入密码。该网站会告诉您破解密码需要多长时间。
原文标题:How an 8-Character Password Could be Cracked in Just a Few Minutes,作者:Lance Whitney
京公网安备 11010802035086号