量子技術(shù)發(fā)展迅速，如何更好的做密碼管理？

近年來，量子技術(shù)發(fā)展迅速。其中，量子計(jì)算未來將對(duì)現(xiàn)有密碼體系帶來威脅已成為行業(yè)共識(shí)。2022年年中，美國(guó)通過首部關(guān)于防范量子計(jì)算攻擊的法案，提出了量子計(jì)算對(duì)密碼算法的威脅及應(yīng)對(duì)措施。我國(guó)“十四五”規(guī)劃也將抗量子攻擊的相關(guān)保密通信技術(shù)研究列入國(guó)家重大科技項(xiàng)目。近期，中國(guó)人民銀行下發(fā)的《關(guān)于開展深化金融科技應(yīng)用、推進(jìn)金融數(shù)字化轉(zhuǎn)型提升工程的通知》中也明確提出“提升金融領(lǐng)域密碼算法抵抗?jié)撛诹孔佑?jì)算攻擊的能力”的要求。本文將分析量子計(jì)算對(duì)銀行密碼算法的威脅，分享工商銀行在應(yīng)對(duì)量子計(jì)算威脅方面的思考和實(shí)踐，以期為同業(yè)提供參考借鑒。

在銀行系統(tǒng)中，密碼算法廣泛用于身份認(rèn)證、敏感信息、交易信息的機(jī)密性和完整性保護(hù)，是銀行信息安全的核心。以一次ATM取款為例，在客戶從插入銀行卡到取出現(xiàn)金的整個(gè)過程中，從ATM終端到后端服務(wù)器已執(zhí)行了十多次密碼算法，對(duì)客戶交易過程進(jìn)行嚴(yán)格保護(hù)。當(dāng)前銀行信息系統(tǒng)使用的密碼算法有對(duì)稱密碼算法、非對(duì)稱密碼算法和散列算法三類。

對(duì)稱算法的加密與解密運(yùn)算使用相同的密鑰，主要用于敏感數(shù)據(jù)的加密傳輸及存儲(chǔ)，防止數(shù)據(jù)明文泄露，在銀行系統(tǒng)中使用較早、應(yīng)用最廣。早期，對(duì)稱算法在合作方交互場(chǎng)景的應(yīng)用存在短板，使用對(duì)稱算法需要雙方通過線下協(xié)商交換獲得相同的密鑰，這個(gè)過程往往涉及人工操作，管理復(fù)雜且密鑰泄露的風(fēng)險(xiǎn)較高。

密碼管理解決方案公司 Nordpass 最近進(jìn)行的一項(xiàng)研究確定，至少在 30 個(gè)國(guó)家 / 地區(qū)中，“Samsung”，或者說“samsung”，是最常用的密碼之一。這使全球數(shù)百萬用戶的安全受到威脅。

使用最喜歡的智能手機(jī) / 電視 / 家用電器品牌的名稱，比如“Samsung”，作為密碼雖然不算最糟糕的威脅，但這種趨勢(shì)在過去幾年中越來越流行。“samsung”密碼在 2019 年排名第 198 位，但它的排名也不斷上升，在 2020 年排名第 189 位，在 2021 年排名第 78 位，在去年突破了前 100 名。

使用最多的密碼是“password”，據(jù)說被近 500 萬用戶選中。其他經(jīng)常使用的密碼是“123456”、“123456789”和 “guest”。至于“samsung”，事實(shí)證明，它不是網(wǎng)絡(luò)上無數(shù)用戶采用的唯一基于品牌的密碼。其他品牌，如 Tiffany，Nike 和 Adidas，也很受歡迎。一些汽車愛好者被發(fā)現(xiàn)使用“kia”和“mini”等密碼。

無論人們使用大寫的“Samsung”還是小寫的“samsung”作為密碼，似乎都不會(huì)對(duì)安全產(chǎn)生多大的區(qū)別影響。根據(jù)最近的報(bào)告，一個(gè)簡(jiǎn)單和可預(yù)測(cè)的密碼可以在不到 1 秒內(nèi)被解密。而將小寫字母和大寫字母與數(shù)字相結(jié)合，也會(huì)產(chǎn)生不同的結(jié)果。一個(gè)結(jié)合了所有這些元素的 7 位數(shù)密碼可能需要 7 秒左右的時(shí)間來破解，而一個(gè) 8 位數(shù)的密碼則需要 7 分鐘左右。

獲悉，該研究公司發(fā)現(xiàn)，由于它們很短，而且只由數(shù)字或字母組成，沒有任何大寫字母，大多數(shù)常用的密碼可以在 1 秒鐘之內(nèi)被破解。

當(dāng)創(chuàng)建新賬戶時(shí)，不管是會(huì)員賬戶還是其他賬戶，都不應(yīng)該使用“Samsung”或“samsung”作為密碼，這將是明智的想法，因?yàn)檫@很最容易被預(yù)測(cè)和破解。過去，可以使用組策略首選項(xiàng)來更新加入域的計(jì)算機(jī)的本地管理員密碼。在組策略管理控制臺(tái)(GPMC)中，右鍵單擊組策略對(duì)象(GPO)，然后轉(zhuǎn)到“計(jì)算機(jī)配置”>“首選項(xiàng)”>“控制面板設(shè)置”>“本地用戶和組”。右鍵單擊右側(cè)的打開區(qū)域，然后選擇“ 新建”>“本地用戶”。

在“新建本地用戶屬性”窗口上，您可以將“用戶名”字段更改為Administrator(內(nèi)置)，但是您會(huì)很快注意到，“密碼”和“確認(rèn)密碼”字段顯示為灰色，并且不能在具有以下功能的任何Management Station上使用已完全修補(bǔ)

2014年5月，Microsoft發(fā)布了有關(guān)組策略首選項(xiàng)中存儲(chǔ)的密碼的安全公告MS14-025。這些使用CPassword屬性的密碼使用易于逆轉(zhuǎn)的加密。這意味著任何有權(quán)訪問Sysvol文件夾的用戶(AD中的所有人)都可以拉出任何包含CPasswords的GPO，反轉(zhuǎn)加密以及學(xué)習(xí)使用組策略首選項(xiàng)修改的本地帳戶(包括管理員帳戶)的密碼。此外，由于將密碼更改推送到系統(tǒng)的整個(gè)組織單位(OU)，因此***者可以立即知道正在從GPO接收設(shè)置的所有系統(tǒng)的密碼。

MS14-025安全公告包含一個(gè)更新，該更新禁用使用組策略首選項(xiàng)更新本地用戶帳戶密碼以及CPassword的其他用法(例如映射驅(qū)動(dòng)器，服務(wù)，計(jì)劃的任務(wù)和ODBC數(shù)據(jù)源)的功能。換句話說，請(qǐng)勿使用組策略首選項(xiàng)來管理本地管理員帳戶的密碼。

LAPS介紹

LAPS允許您在加入域的情況下管理本地管理員密碼(隨機(jī)，唯一且定期更改)電腦。這些密碼集中存儲(chǔ)在Active Directory中，并且僅限使用ACL的授權(quán)用戶使用。使用Kerberos v5和AES從客戶端到服務(wù)器的傳輸密碼受到保護(hù)。

這個(gè)功能實(shí)現(xiàn)的是讓加域的客戶端本地administrator賬號(hào)密碼隨機(jī)化(每一臺(tái)都不一樣的復(fù)雜隨機(jī)密碼)，并且隨機(jī)化密碼存儲(chǔ)在AD上可以查詢到，避免***者猜出一臺(tái)就等于猜出一片，從客戶端到服務(wù)器的傳輸過程采用Kerberos v5和AES保護(hù)