云计算服务给密码保护造成的新挑战

　　据安全专家David Campbell的计算，即便用户不使用安全专家建议的大小写字母混合式的密码组合，使用亚马逊提供的云计算服务进行密码暴力破解的黑客，出于成本过高的原因可能也将无法使用这种服务对具备12位长度的密码进行破解。

　　目前，亚马逊公司为用户提供一种名为EC2的云计算网络服务，这种服务按小时计费.而如果要利用这种服务来暴力破解长度为12位的密码，黑客需要为此支付150万美元以上金额的服务费。不过如果密码的长度缩短为11位，那么便只需要不到6万美元服务费即可，而10位密码则需要支付不到2300美元的费用。

　　按照传统的安全建议，在密码中采用大小写字母混搭的形式更为安全一些，但根据最近的研究，其提升的安全等级并不如我们所想像得那么大，而密码的位数对密码安全性的提升作用则更大一些。采用这种混搭形式的10位密码只需要支付不到6万美元的服务费，便可以利用EC2云计算服务暴力破解成功。而11位这样的密码则需要花费210万美元。而如果密码的长度较短，即使用户在设置密码时采用诸如“!@#$%”这类生僻字符，暴力破解密码同样比较容易。采用EC2计算8位长度的这种密码的费用大约是10.6万美元左右。

　　这篇分析文章的全文可以点击这个链接进行查阅。这篇文章以今年早些时候SensePost的安全顾问Haroon Meer在“黑帽”大会上所作的研究报告为基础。在这篇文章中，Campbell向我们介绍了一种利用亚马逊EC2云计算服务来暴力破解并窃取用户信用卡密码的方法。

　　“由于黑帽组织已经开始利用云计算等超级计算服务开展破解行动，因此我们这批负责安全管理的技术人员需要重新考虑一些过去被我们忽视的安全细节。黑客们窃取了用户的信用卡后，可以利用这些卡里的钱来购买计算能力强劲的机器，这些机器的威力甚至比国家安全机关中装备的超级计算机还强。”

　　尽管亚马逊向单独一名用户提供的云计算服务计算能力有限，但黑客们也有对应的办法，他们可以利用窃取的多个信用卡账号同时登陆云计算服务，让这些计算同时进行。

　　Cambell在这次的假设中采用了一种很简单的算法：

　　在计算暴力破解由8位全小写字母组成的密码的费用时，他简单地将暴力破解的次数设为26的8次方,这样，加上大写字母以及10个阿拉伯数字后，暴力破解的次数则变为(26+26+10)的8次方。而他的密码破解软件则每个小时可以暴力计算出93.6亿个密码，将62的8次方除以93.6亿，然后再乘以EC2服务的服务费，每小时30美分，这样暴力破解8位全小写字母密码的费用计算式便为：((26+26+10)^8/ 9,360,000,000) * .30.

　　而暴力破解由12位大小写字母+阿拉伯数字组成密码所需的费用则为((26+26+10)^12 / 9,360,000,000) * .30

　　使用云计算服务来替代在公司里设立维护大量服务器，显然对节省企业的成本有利。不过现在看来从云计算服务中受惠最大的恐怕是黑客等群体。

　　不久以前，安全专家还对102位的RSA密码长度刚到放心。但随着电脑技术的发展，现在愿意使用2048位密码长度的安全专家数量也越来越多。而现在云计算也开始加入到为密码破解技术提供服务的阵营中去，是时候对一些传统的安全措施进行重新考虑和修改了。