来源: 60% of MD5 password hashes are crackable in under an hour
今天是世界密码日,而庆祝这一节日最好的方式莫过于听到这样的消息:大多数所谓的安全密码哈希值都可以在不到一小时内用单个 GPU 破解,有些甚至不到一分钟。
卡巴斯基安全公司的研究人员利用来自暗网泄露的超过 2.31 亿个唯一密码的数据集(包括自上次研究以来新增的 3800 万个密码),并使用 MD5 哈希算法对其进行哈希处理,发现使用一块 Nvidia RTX 5090 显卡,不到一小时即可破解 60% 的密码,不到 60 秒即可破解 48% 的密码。
当然,考虑到它的价格,这并非一款普通的桌面图形处理器,但这凸显了一个重要问题:破解普通密码哈希值所需的资源少得惊人。卡巴斯基指出,有志于从事网络犯罪的人甚至不需要自己的 5090 显卡,因为他们可以轻松地从云服务提供商那里租用一台,只需花费几美元就能破解哈希值。
归根结底,如果攻击者在数据泄露事件中获取了仅使用 MD5 等快速哈希算法保护的密码,那么这些密码将不再安全。
卡巴斯基指出:“攻击者只需要一个小时就能破解泄露信息中发现的五分之三的密码。”
密码哈希值之所以如此容易破解,很大程度上是因为密码的可预测性。卡巴斯基实验室分析了超过2亿个泄露的密码,发现攻击者可以利用一些常见模式来优化破解算法,从而显著缩短猜测目标账户访问权限所需的字符组合的时间。
如果您想知道是否有可供比较的趋势,卡巴斯基曾在2024年进行过类似的研究,结果令人失望:2026年的密码破解难度实际上比几年前略低。当然,幅度不大——只有几个百分点——但这仍然是一个错误的方向。
卡巴斯基解释说:“攻击者之所以能获得如此快速的攻击速度,要归功于图形处理器,它们的性能每年都在提升。不幸的是,密码的安全性却依然像以往一样脆弱。”
不如设立一个“世界停止依赖密码日”?
过去二十年来,关于密码消亡的说法不幸被大大夸大了,但我们大多数人仍然每天多次依赖密码。对于《El Reg》的读者来说,我们这些“密码秃鹫”收到的关于世界密码日等活动的宣传邀请可能并不令人意外,而今年收到的大多数宣传都传达了相同的信息:我们真的需要尽快摆脱密码,或者至少重新思考我们的安全模式。
托管服务提供商巨头 Thrive 的首席信息安全官 Chris Gunner 在电子邮件评论中告诉我们,没有理由完全放弃密码,但密码应该只是更广泛的基于身份的安全策略的一部分。
“即使是强密码,如果更广泛的身份和访问环境管理不善,也可能被破解,”冈纳说。他表示,密码应该与第二重验证因素结合使用,最好是生物识别验证,因为这是黑客最难绕过的验证方式。
Gunner补充道:“多因素身份验证控制应该与身份治理和终端保护相结合,以减少系统之间的差距。”他还建议建立更广泛的零信任模型,限制通过被盗账户进行横向移动的可能性。
IEEE资深会员、诺丁汉大学网络安全教授史蒂文·弗内尔表示,世界密码日的宣传不应仅仅局限于提醒人们提高个人安全意识。弗内尔在一封电子邮件中解释说,密码在很长一段时间内都不会消失,而对新型安全技术的采用不一致意味着,由于某些服务提供商未能及时更新,用户将面临风险。
“许多网站和服务仍然不支持密码密钥,因此用户会发现登录体验参差不齐,”弗内尔解释说。“虽然有些人可能会认为保护自身安全是用户的责任,但他们需要知道如何做到这一点。”
教授指出,在很多情况下,用户没有被告知如何创建一个好的现代密码;而在另一些情况下,网站根本没有强制执行足够的密码要求来确保密码安全,使其达到应有的安全程度。
“在今年的世界密码日,主要信息不应该是给用户(他们往往别无选择,只能使用密码),而应该是给那些要求用户使用密码的网站和服务提供商,”弗内尔告诉我们。
你听到了——是时候升级用户安全体系了。无论你认为你的密码多么安全,即使它们要求复杂且使用了哈希存储,也可能很快就会有人破解,因此,确保在第一道防线之后还有第二道锁是组织的责任。®