量子技术发展迅速,如何更好的做密码管理?

发布时间:2022-12-02  

近年来,量子技术发展迅速。其中,量子计算未来将对现有密码体系带来威胁已成为行业共识。2022年年中,美国通过首部关于防范量子计算攻击的法案,提出了量子计算对密码算法的威胁及应对措施。我国“十四五”规划也将抗量子攻击的相关保密通信技术研究列入国家重大科技项目。近期,中国人民银行下发的《关于开展深化金融科技应用、推进金融数字化转型提升工程的通知》中也明确提出“提升金融领域密码算法抵抗潜在量子计算攻击的能力”的要求。本文将分析量子计算对银行密码算法的威胁,分享工商银行在应对量子计算威胁方面的思考和实践,以期为同业提供参考借鉴。

在银行系统中,密码算法广泛用于身份认证、敏感信息、交易信息的机密性和完整性保护,是银行信息安全的核心。以一次ATM取款为例,在客户从插入银行卡到取出现金的整个过程中,从ATM终端到后端服务器已执行了十多次密码算法,对客户交易过程进行严格保护。当前银行信息系统使用的密码算法有对称密码算法、非对称密码算法和散列算法三类。

对称算法的加密与解密运算使用相同的密钥,主要用于敏感数据的加密传输及存储,防止数据明文泄露,在银行系统中使用较早、应用最广。早期,对称算法在合作方交互场景的应用存在短板,使用对称算法需要双方通过线下协商交换获得相同的密钥,这个过程往往涉及人工操作,管理复杂且密钥泄露的风险较高。

密码管理解决方案公司 Nordpass 最近进行的一项研究确定,至少在 30 个国家 / 地区中,“”,或者说“samsung”,是最常用的密码之一。这使全球数百万用户的安全受到威胁。

使用最喜欢的智能手机 / 电视 / 家用电器品牌的名称,比如“Samsung”,作为密码虽然不算最糟糕的威胁,但这种趋势在过去几年中越来越流行。“samsung”密码在 2019 年排名第 198 位,但它的排名也不断上升,在 2020 年排名第 189 位,在 2021 年排名第 78 位,在去年突破了前 100 名。

使用最多的密码是“password”,据说被近 500 万用户选中。其他经常使用的密码是“123456”、“123456789”和 “guest”。至于“samsung”,事实证明,它不是网络上无数用户采用的唯一基于品牌的密码。其他品牌,如 Tiffany,Nike 和 Adidas,也很受欢迎。一些汽车爱好者被发现使用“kia”和“mini”等密码。

无论人们使用大写的“Samsung”还是小写的“samsung”作为密码,似乎都不会对安全产生多大的区别影响。根据最近的报告,一个简单和可预测的密码可以在不到 1 秒内被解密。而将小写字母和大写字母与数字相结合,也会产生不同的结果。一个结合了所有这些元素的 7 位数密码可能需要 7 秒左右的时间来破解,而一个 8 位数的密码则需要 7 分钟左右。

获悉,该研究公司发现,由于它们很短,而且只由数字或字母组成,没有任何大写字母,大多数常用的密码可以在 1 秒钟之内被破解。

当创建新账户时,不管是会员账户还是其他账户,都不应该使用“”或“samsung”作为密码,这将是明智的想法,因为这很最容易被预测和破解。过去,可以使用组策略首选项来更新加入域的计算机的本地管理员密码。在组策略管理控制台(GPMC)中,右键单击组策略对象(GPO),然后转到“计算机配置”>“首选项”>“控制面板设置”>“本地用户和组”。右键单击右侧的打开区域,然后选择“ 新建”>“本地用户”。

在“新建本地用户属性”窗口上,您可以将“用户名”字段更改为Administrator(内置),但是您会很快注意到,“密码”和“确认密码”字段显示为灰色,并且不能在具有以下功能的任何Management Station上使用已完全修补

2014年5月,Microsoft发布了有关组策略首选项中存储的密码的安全公告MS14-025。这些使用CPassword属性的密码使用易于逆转的加密。这意味着任何有权访问Sysvol文件夹的用户(AD中的所有人)都可以拉出任何包含CPasswords的GPO,反转加密以及学习使用组策略首选项修改的本地帐户(包括管理员帐户)的密码。此外,由于将密码更改推送到系统的整个组织单位(OU),因此***者可以立即知道正在从GPO接收设置的所有系统的密码。

MS14-025安全公告包含一个更新,该更新禁用使用组策略首选项更新本地用户帐户密码以及CPassword的其他用法(例如映射驱动器,服务,计划的任务和ODBC数据源)的功能。换句话说,请勿使用组策略首选项来管理本地管理员帐户的密码。

LAPS介绍

LAPS允许您在加入域的情况下管理本地管理员密码(随机,唯一且定期更改)电脑。这些密码集中存储在Active Directory中,并且仅限使用ACL的授权用户使用。使用Kerberos v5和AES从客户端到服务器的传输密码受到保护。

这个功能实现的是让加域的客户端本地administrator账号密码随机化(每一台都不一样的复杂随机密码),并且随机化密码存储在AD上可以查询到,避免***者猜出一台就等于猜出一片,从客户端到服务器的传输过程采用Kerberos v5和AES保护

文章来源于:21IC    原文链接
本站所有转载文章系出于传递更多信息之目的,且明确注明来源,不希望被转载的媒体或个人可与我们联系,我们将立即进行删除处理。

相关文章

我们与500+贴片厂合作,完美满足客户的定制需求。为品牌提供定制化的推广方案、专属产品特色页,多渠道推广,SEM/SEO精准营销以及与公众号的联合推广...详细>>

利用葫芦芯平台的卓越技术服务和新产品推广能力,原厂代理能轻松打入消费物联网(IOT)、信息与通信(ICT)、汽车及新能源汽车、工业自动化及工业物联网、装备及功率电子...详细>>

充分利用其强大的电子元器件采购流量,创新性地为这些物料提供了一个全新的窗口。我们的高效数字营销技术,不仅可以助你轻松识别与连接到需求方,更能够极大地提高“闲置物料”的处理能力,通过葫芦芯平台...详细>>

我们的目标很明确:构建一个全方位的半导体产业生态系统。成为一家全球领先的半导体互联网生态公司。目前,我们已成功打造了智能汽车、智能家居、大健康医疗、机器人和材料等五大生态领域。更为重要的是...详细>>

我们深知加工与定制类服务商的价值和重要性,因此,我们倾力为您提供最顶尖的营销资源。在我们的平台上,您可以直接接触到100万的研发工程师和采购工程师,以及10万的活跃客户群体...详细>>

凭借我们强大的专业流量和尖端的互联网数字营销技术,我们承诺为原厂提供免费的产品资料推广服务。无论是最新的资讯、技术动态还是创新产品,都可以通过我们的平台迅速传达给目标客户...详细>>

我们不止于将线索转化为潜在客户。葫芦芯平台致力于形成业务闭环,从引流、宣传到最终销售,全程跟进,确保每一个potential lead都得到妥善处理,从而大幅提高转化率。不仅如此...详细>>