Furnell 指出,当前不少办事要么没有向用户清楚解释若何创建相符现代标准的高强度暗码,要么干脆没有履行足够严格的暗码策略,让用户轻松经由过程弱暗码注册或修改流程,从泉源埋下隐患。 在他看来,这个“世界暗码日”真正应当发出的旌旗灯号,并不是再一次请求用户“自发加强安然意识”,而是催促那些仍以暗码为重要认证手段的网站和办事供给方,承担起应有的安然义务,推动更安然的登录选项和更合理的暗码请求落地。
卡巴斯基在研究中拔取了一个包含逾 2.31 亿个独一暗码的样本集,这些暗码均来自暗网泄漏数据库,个中有 3800 万条是较此前一轮研究新增的数据。 研究人员应用 MD5 对这些明文暗码从新进行哈希处理,并在单块 NVIDIA RTX 5090 显卡长进行破解测试,成果注解,绝大年夜多半暗码在极短时光内就可以被恢复,这也在高机能硬件赓续普及的背景下凸显出现代暗码体系的脆弱性。
尽管 RTX 5090 并非通俗桌面用户的主流显卡,并且价格不菲,但卡巴斯基指出,这并不构成本质门槛。 进击者完全可以经由过程云办事低成本租用类似等级的 GPU,“按小时计费”进行暗码破解,这意味着即便通俗企业或网站在本地并未安排如斯昂贵的硬件,其暗码数据库一旦泄漏,依然会在实际进击场景中面对高强度破解才能。
研究申报强调,此次测试的结论并非针对明文暗码本身,而是指向“快速哈希算法”的构造性风险:任何仅依附 MD5 等高速哈希算法来存储暗码的体系,在数据库被窃取后都不再具有足够的安然性。 卡巴斯基在申报中直言,“进击者只须要一小时,就能从泄漏列表中破解出五个暗码中的三个”,在 GPU 机能持续晋升的形势下,留给传统暗码哈希的安然缓冲时光正在急剧缩短。
卡巴斯基分析认为,进击效力晋升的一个关键原因,在于人类暗码选择本身的高度可猜测性。 经由过程对逾 2 亿条泄漏暗码进行模式分析,研究人员发明,不罕用户仍然采取常见单词、数字序列、键盘次序组合等“套路”暗码,而这类模式很轻易被整合进字典进击和规矩优化的破解算法,极大年夜缩短了穷举搜刮所需的时光。
这项研究也与卡巴斯基在 2024 年开展的前一轮同类分析形成比较,成果显示,2026 年暗码整体的可破解性比拟两年前略有恶化,固然幅度不大年夜,仅晋升了几个百分点,但趋势依然朝着“更轻易被攻破”的偏向成长。 卡巴斯基指出,进击方“提速”的重要动力来自 GPU 机能的年年迭代,而用户在暗码习惯上的改进却几乎停止不前,使得攻防差距持续拉大年夜。
托管办事供给商 Thrive 的“按需 CISO”Chris Gunner 在接收邮件采访时表示,没有须要完全摈弃暗码,但它必须被纳入更广义的“身份安然计谋”之中,而不是孤立存在。 他指出,即就是强暗码,假如地点的身份与拜访治理情况缺乏同一治理,同样可能因设备松散、会话劫持或权限滥用而形同虚设,是以暗码最好与第二要素绑定应用,优先推敲生物辨认等更难被绕过的因子。
在关于“世界暗码日”的评论辩论中,多位安然专家认为,与其持续庆贺“暗码节”,不如把这一天改成“拜别暗码日”,推动业界尽快摆脱对单一暗码的依附,或至少彻底重塑账号安然架构。 尽管“暗码已逝世”的说法多年来屡被衬着,但实际是,大年夜部分用户和企业依然在高度依附暗码登录,安然宣传邮件与市场推广活动年年赓续,却未能从根本上扭转暗码弱、复用多、保护差的近况。
Gunner 进一步建议,将多身分认证与身份治理和终端防护整合起来,构建更完全的零信赖模型,经由过程精细化的拜访控制和持续验证,降低单一账号被攻下后横向移动的风险。 在他看来,组织应当假设“第一道门迟早会被打开”,并在门后再筑起多层防地,而不是将全部欲望依附在复杂暗码和“精确哈希存储”上。
IEEE 高等会员、诺丁汉大年夜学收集安然传授 Steven Furnell 则提示,暗码问题不克不及只逗留在“教用户自救”的层面。 他表示,在将来相当长一段时光内,暗码不会真正消掉,而新一代安然技巧(如无暗码登录、Passkey 等)的安排也极不均衡,很多网站和办事尚未供给支撑,导致用户不得不在传统暗码和新筹划之间往返切换,体验割裂且风险并存。
在多位专家看来,无论是采取更强的暗码治理规矩,照样转向多身分认证、Passkey 甚至“无暗码化”筹划,主动权都不该完全压在终端用户身上,而须要组织和办事供给方做出体系性的架构调剂。 在 GPU 算力充裕、MD5 等快速哈希算法形同虚设的当下,任何自认为“复杂、随机并已哈希”的暗码,都不该被视为最后一道防地,而只是门口的一把基本锁,真正决定安然底线的,是其背后那一整套身份与拜访控制体系。
发表评论 取消回复