用户名真的和密码一样重要吗

几个月前，笔者采访了微软首席研究员科马克·赫利博士。在经过几次有趣的交谈后，我撰写了一篇文章，题目为《用户是否有拒绝安全建议的权力?》笔者的观点和赫利博士的相同，对于用户来说，如果安全建议是昂贵而且无效的，为什么不能拒绝它呢?

笔者无意中发现了另一篇文章，它是由赫利博士与来自微软的另一名研究员迪内伊·弗洛伦西奥博士以及理工大学的研究助理巴里斯·库斯昆博士一起撰写的。我希望与前面的文章相比，它的内容更刺激，结果，实际情况确实是这样的：

在《强密码真的是没有实际效果么?》一文中，他试图解释在当前网站用户名和密码使用中存在的错误方式。笔者同意他们的观点。你是怎么认识的呢?

主要威胁有哪些?

首先，对于网站登录凭证来说，盗窃是面临最直接的风险，对于金融业来说，这种情况尤为严重。因此，在该文的下面列出了窃取网站信息的主要方法：

· 网络钓鱼

· 记录键盘活动

· 利用特别知识或访问进行攻击(采用和用户相关的信息、直接观察偷看或进入到计算机的方式)

· 暴力穷举攻击个人帐户

· 对网站上的所有帐户进行大规模猜测攻击

目前的最佳处理方法

因此，为了确保所有人步调一致，该文提出了目前被认为是恰当的密码管理方法：

· 选择强密码

· 经常更换密码

· 任何时间都不要把密码写下来

这些措施没有起什么作用

研究者们认为这些建议是过时的。在遇到网络钓鱼、键盘记录以及利用特殊知识的攻击时，“最佳密码管理方式”不会保护你的登录凭证。我相信大多数人都会同意这一点，但对于暴力穷举和大规模猜测攻击呢?

暴力穷举攻击

作者们认为暴力穷举和大规模猜测攻击是无效的。原因很简单，在通常情况下，系统管理员会对失败的特定登录企图设置限定数量。他们会采用下面给出的例子中的做法：

“如果一家银行采用的是六位数字个人识别码(典型的弱密码)，并采取了在三次输入错误后锁定账户一天的措施的话，攻击者需要搜索3x365x10=1e6或者说在在十年内才能获得1%的关键空间。此外，不成功的登录和成功的之间区别非常大，因此，很容易被发现。”

这也许是事实，但如果网站没有锁定策略的话，应该怎么办?

大规模猜测攻击

必须承认，我从来没遇到过大规模猜测攻击。他们的攻击方式应该如同名称中描述的那样。来自该文中下面的例子说明的就是大规模猜测攻击的概念：

“假设一家银行拥有一千万个网络用户帐户。如果银行允许六位数字的个人识别码，这样的话，平均每个密码将被用于十个不同的用户。攻击者不是寻找一个特定用户名的所有可能密码，而是利用给定密码对所有可能的用户名称进行搜索。利用这种策略，一千万次企图将会产生十次成功登录。”

作者们还表明，这种方法非常的隐蔽。

“对单一用户名进行密码攻击是非常明显的，攻击者的实际登录尝试难以掩饰。而对所有用户名进行攻击不会对大局造成什么影响：即使一千万次尝试平均下来也不过是一个账户一次登录失败。”

对于某些人来说，一千万人里只有十次攻击成功看起来是微不足道的。当然，除非他也是在这十个人里面。

凭证安全的影响因素

接下来，研究人员希望确定对于每一个用户名/密码组合来说多少数字信息是必须的。在上面的例子中，这一数额乘以1000万就会变得非常重要：

“在本例中，银行拥有一千万网络用户，每位用户都使用20位的密码(6位的个人识别码)。银行已经对用户名进行简化。用户被指定为连续的7位数字。这就是大约23位。因此，为了进入用户的账户，攻击者必须输入43位数字。我们将这一43位的用户名密码叫做银行凭据。

因此，对于进行大规模猜测攻击的黑客来说，需要搜索的空间是2的43次方。这其中有2的23次方的有效账户，因此，攻击者可以预期在2的20次方攻击后，就可以进入一个账户。”

研究人员发现增加个人数字凭证的位数可以有效提高抵御大规模猜测攻击的能力。该研究团队提供了下列参数：

· Bu：即用户名的位数

· Bp：即密码的位数

· N：成员数量的变化

下面的表达式显示的就是进行大规模猜测攻击需要搜索的空间容量：

2的(Bu+Bp)次方

下面的方程代表了获得一次成功需要尝试的数字：

2的(Bu+Bp)次方/N

从第二个表达式中，我们可以看到用户名和密码规模增加得越大，攻击成功的概率越低。

增加用户名的位数

在这里，我们不建议增加密码的位数。研究人员已经解释过增加密码的位数不会减少网络钓鱼、键盘记录或利用特殊知识进行攻击带来的风险。此外，人们更习惯记忆简单的密码。因此，为什么不选择增加用户名的位数作为替代呢?毕竟，这样做可以获得相同的效果。

增加用户名而不是密码的位数还有一项更大的好处。这就是，用户名不需要保密。用户名可以显示给所有人看。网络犯罪分子很难从显示器上贴着的便签中搜集到所有人的用户名。

在这里，研究团队涉及到一个问题：就是攻击者可以获得机构数据库中的所有清单。研究人员假设(尽管是合乎逻辑的，但还是一项假设)用户名清单是受到严密保护的。如果一份清单被公布，机构可以防御利用用户名和错误密码进行的拒绝服务攻击带来的风险。

结 论

最后，研究团队提供了两种解决方案，它们分别适用于大型机构和小型机构：

大型机构：可以选择使用简单的短密码配合较长的用户名。这样可以减少凭据攻击成功的可能性，并让用户的使用变得更方便。

小型机构：对于这么少的用户群，网络犯罪分子不会想利用大规模猜测攻击来获得信息。因此，该文的结论是使用简单的短密码，并且只要出现一次不成功的登录就锁定的策略。

最后的思考

在读完所有文章后，关于用户登录凭据笔者现在有了不同的观点。这一概念似乎非常有意思，但有些人可能会发现研究中存在争议。此外，赫利博士似乎还没有完成整个研究工作。在最近的一封电子邮件中，他提到正在和其他人合作撰写另一篇文章：

“新文章将找出确认密码是否属于流行的方法。我们认为，禁止那些流行的密码比起要求用户使用更复杂的密码来说，是更好的选择。”

原文地址：http://security.zdnet.com.cn/security_zone/2010/1005/1904966.shtml