雲計算服務給密碼保護造成的新挑戰

不過據安全專家David Campbell的計算，即便使用者不使用安全專家建議的大小寫字母混合式的密碼組合，使用亞馬遜提供的雲計算服務進行密碼暴力破解的駭客， 出於成本過高的原因可能也將無法使用這種服務對具備12位長度的密碼進行破解。 目前，亞馬遜公司為使用者提供一種名為EC2的雲計算網路服務，這種服務按小時計費.而如果要利用這種服務來暴力破解長度為12位的密碼，駭客需要為此支付150萬美元以上金額的服務費。 不過如果密碼的長度縮短為11位，那麼便只需要不到6萬美元服務費即可，而10位密碼則需要支付不到2300美元的費用。 按照傳統的安全建議，在密碼中採用大小寫字母混搭的形式更為安全一些，但根據最近的研究，其提升的安全等級並不如我們所想像得那麼大，而密碼的位數對密碼安全性的提升作用則更大一些。 採用這種混搭形式的10位密碼只需要支付不到6萬美元的服務費，便可以利用EC2雲計算服務暴力破解成功。 而11位這樣的密碼則需要花費210萬美元。 而如果密碼的長度較短，即使使用者在設置密碼時採用諸如「!@#$%」這類生僻字元，暴力破解密碼同樣比較容易。 採用EC2計算8位長度的這種密碼的費用大約是10.6萬美元左右。 這篇分析文章的全文可以點擊這個連結進行查閱。 這篇文章以今年早些時候SensePost的安全顧問Haroon Meer在「黑帽」大會上所作的研究報告為基礎。 在這篇文章中，Campbell向我們介紹了一種利用亞馬遜EC2雲計算服務來暴力破解並竊取使用者信用卡密碼的方法。 「由於黑帽組織已經開始利用雲計算等超級計算服務開展破解行動，因此我們這批負責安全管理的技術人員需要重新考慮一些過去被我們忽視的安全細節。 駭客們竊取了使用者的信用卡後，可以利用這些卡裡的錢來購買計算能力強勁的機器，這些機器的威力甚至比國家安全機關中裝備的超級電腦還強。 」儘管亞馬遜向單獨一名使用者提供的雲計算服務計算能力有限，但駭客們也有對應的辦法，他們可以利用竊取的多個信用卡帳號同時登陸雲計算服務，讓這些計算同時進行。 Cambell在這次的假設中採用了一種很簡單的演算法：在計算暴力破解由8位全小寫字母組成的密碼的費用時，他簡單地將暴力破解的次數設為26的8次方,這樣，加上大寫字母以及10個阿拉伯數位後，暴力破解的次數則變為（26+26+ 10）的8次方。 而他的密碼破解軟體則每個小時可以暴力計算出93.6億個密碼，將62的8次方除以93.6億，然後再乘以EC2服務的服務費，每小時30美分，這樣暴力破解8位全小寫字母密碼的費用計算式便為：((26+26+10)^8/ 9,360,000,000) * .30.而暴力破解由12位大小寫字母+阿拉伯數位組成密碼所需的費用則為((26+26+10)^12 / 9,360,000,000) * .30使用雲計算服務來替代在公司裡設立維護大量伺服器， 顯然對節省企業的成本有利。 不過現在看來從雲計算服務中受惠最大的恐怕是駭客等群體。 不久以前，安全專家還對102位的RSA密碼長度剛到放心。 但隨著電腦技術的發展，現在願意使用2048位密碼長度的安全專家數量也越來越多。 而現在雲計算也開始加入到為密碼破解技術提供服務的陣營中去，是時候對一些傳統的安全措施進行重新考慮和修改了。