为什么我的家用电脑需要一个强密码?它试图阻止什么样的攻击?

信息安全 密码
2021-08-11 21:15:11

我可以理解为什么网站密码需要很强,因为它需要能够承受密码破解者对被盗密码文件的离线攻击,该密码破解者每秒可能进行 3500 亿次猜测,并使用包含数百万个预先计算的密码的彩虹表哈希。所以我很欣赏需要使用密码管理器并让它拥有一个非常强大的主密码。

但是这些注意事项是否适用于我家用计算机的密码?(即 mac/pc 台式机/笔记本电脑) 如果我的计算机被盗,我知道在不知道我的密码的情况下可能会闯入它。 如果攻击使用互联网,那么我猜它涉及恶意软件。我想到了一些相关的问题......

  1. 恶意软件能否发起针对被盗数据库密码文件的攻击?
  2. 我的计算机密码的存储安全性如何?
  3. 恶意软件是否需要知道我的密码,因为它可能拥有我的登录权限?
  4. 那么密码有什么作用呢?还有什么需要保护的?
  5. 这取决于操作系统吗?
  6. 受限帐户是否需要与管理帐户相同的密码强度?

表达这个问题的另一种方式是询问我的家用计算机密码需要多强,因为很难创建一个容易记住的密码来阻止密码破解者的攻击(请参阅Schneier 的安全性和卡内基梅隆大学的研究)。我的密码管理器和 Apple ID(我认为)都需要这样的密码,但我是否需要为家用电脑记住第三个超强密码?

我没有技术背景,但是我认为加密的硬盘驱动器受我的管理员密码保护并且如果我的家用计算机被盗,这个密码可能会受到暴力攻击,我是否正确?那么它的脆弱性是否取决于它的强度和用于存储它的散列算法?

4个回答

拥有强密码的主要原因是防止那些可以物理访问您的机器但不精通技术的人。如果您不加密您的驱动器,任何人都可以轻松地挂载(读取、删除或更改)您的数据(如果他们有权访问),从而也可以控制您的系统。

但是有多少可以物理访问您的计算机的人实际上可以做到这一点?还有一个心理障碍。如果您使用您的生日作为密码,“只是签出”可能不会觉得违反了那么大 - 并且比 - 其他攻击更容易完成。

如果您为特权更高的帐户使用弱密码或无密码,恶意软件也可能造成更大的破坏。

  1. 恶意软件能否发起针对被盗数据库密码文件的攻击?

您通常不允许通过系统用户远程访问您的个人计算机,因此在线暴力破解是不可能的。如果有人具有物理访问权限并且驱动器未加密,则有比暴力破解更简单的方法。

  1. 我的计算机密码的存储安全性如何?

这取决于系统。在很多 linux 系统中,它存储在 /etc/shadow 文件中,只有 root 用户才能读取。

  1. 恶意软件是否需要知道我的密码,因为它可能拥有我的登录权限?

该恶意软件很可能首先在安装时使用的权限下运行,这可能是您的主帐户。它不需要您的密码来执行此操作。然后它可能会尝试通过对系统的利用来获得更多特权。从理论上讲,它也可能会尝试暴力破解更多特权帐户的密码,或者在您输入密码时使用键盘记录器读取密码。

  1. 那么密码有什么作用呢?还有什么需要保护的?

如上所述,拥有相当强的密码可以防止具有物理访问权限的人轻松访问您的系统,而无需执行任何实际攻击。

TL;博士;

它试图阻止什么样的攻击?

它可以防止靠近您的人。他们可能只是好奇或可能有恶意(例如,虐待伙伴的情况)。

为什么我的家用电脑需要一个强密码?

您不一定需要密码。您可以使用具有最大尝试次数的 PIN 的身份验证系统(在 Windows 10 上可用)。

让我们考虑三种不同的威胁模型。您提到了随机盗窃案和随机恶意软件案。

我想你忘记了一个重要的威胁模型:虐待伴侣或吵闹的亲戚。我将在最后讨论这个。

1.随机盗窃

您可能成为不幸的、没有针对性的抢劫的受害者。在我们的例子中,您的计算机。

我知道有可能在不知道我的密码的情况下闯入它。

这取决于。

例如,如果您使用加密,您可能会认为您的数据是安全的(不违反机密性)。一个普通的小偷不会对你的数据感兴趣,但她/他可以用你的电脑换取的钱。因此,将不会尝试恢复数据(例如,通过暴力破解密码)。

如果您没有加密您的数据,即使是不熟练的攻击者也可以在没有密码的情况下轻松访问您的数据。但是,你不知道它会发生什么。可能没什么,再说一遍,只是为了钱。但你永远无法确定。也许小偷发现了一些有趣的数据来出售或敲诈?

所以关于你的问题:

我认为加密的硬盘驱动器受我的管理员密码保护是正确的吗

这取决于用于加密的技术。

如果我的家用电脑被盗,这个密码可能会受到暴力攻击?

这是极不可能的。除非你是有针对性的抢劫的受害者,这是不太可能的。

2. 随机恶意软件

您可能成为感染您计算机的不幸的、非针对性的恶意软件的受害者。例如,您打开了恶意电子邮件或从 Internet 下载了受感染的应用程序。

恶意软件能否发起针对被盗数据库密码文件的攻击?我的计算机密码的存储安全性如何?恶意软件是否需要知道我的密码,因为它可能拥有我的登录权限?

如果任何恶意软件已经感染了你,你是对的,它已经拥有你的权限,因此它不需要找到你的密码。

3. 虐待伴侣或吵闹的亲戚

第三种威胁模型是关于您身边的人或可以不时访问您的计算机的亲戚。

许多夫妻、家人或朋友相互信任,不会侵犯其中一个成员的隐私。这就是为什么经常看到家庭在计算机上共享同一个帐户或知道他们配偶的电子邮件密码的原因。

然而,这样的选择可能是危险的。关系可以发展。例如,配偶怀疑另一方的忠诚度,或者父母在某些事件后不再信任他们的孩子。滥用合作伙伴在他们的(前)合作伙伴手机/计算机上安装间谍软件来监控他们的生活的案例即使案件家庭暴力。

因此,即使您使用单独的帐户,使用弱密码(例如生日或您的狗的名字)也可能是个问题。家人或朋友都可以猜到。此人不需要任何有关计算机安全的知识。

建议使用强密码或更一般的强身份验证机制。正如@eckes 在评论中指出的那样,您可以在 Windows 10 上使用短 PIN,而不是强密码。这是一个很好的权衡,因为您必须记住一个小数字(但不要选择任何日期),如果它要求另一种身份验证方法(更复杂)的尝试太多。

那么密码有什么作用呢?还有什么需要保护的?

总而言之,对于经典桌面家庭用户,它可以防止可能访问您的计算机/帐户的不可靠亲属。如果您的威胁模型涉及更熟练的攻击者,您仍然需要强大的身份验证方法,但您需要担心其他攻击面。

这取决于操作系统吗?

这仅适用于管理员权限登录吗?

不确定“this”适用于什么,所以我会说:您需要一个强密码用于管理员帐户。

大多数情况下,您的密码已被您泄露。他们不会破解它。他们诱骗您放弃超级复杂的密码。网络钓鱼电子邮件等。

攻击者有可能通过不安全的路由器/其他设备直接在您的无线网络中访问您的本地网络,或者利用您的路由器获得 VPN 访问权限,然后暴力破解您的计算机通过您自己的网络。这样,他们不需要物理访问您的计算机,只需要网络访问。

此外,如果您使用的是 Windows 8.1 或更高版本,则默认使用 Microsoft 帐户登录,在这种情况下,默认本地用户也是您的在线用户。这意味着如果他们获得了您的弱密码的访问权限,他们可能会危及您的 Microsoft 帐户。如果您使用 OneDrive 之类的东西,这尤其成问题。

真正的原因归结为只要你能记住它,拥有一个强密码并没有什么坏处。

其它你可能感兴趣的问题
上一篇CSV 可以包含恶意代码吗? 下一篇英特尔 SGX 详细信息?